Sei sulla pagina 1di 107

UNIVERSIT DEGLI STUDI DI MILANO

Facolt di Scienze Matematiche, Fisiche e Naturali


Corso di Laurea in Sicurezza dei Sistemi e delle Reti Informatiche

Realizzazione di un'architettura di rete


per l'accesso remoto tramite SSL-VPN
e utilizzo di tecnologie
per strong authentication

RELATORE
Prof. Marco Cremonini
CORRELATORE
Giordano Zambelli

TESI DI LAUREA DI
Giacomo de Giorgis
Matr. 678481

Anno Accademico 2006/2007

INTRODUZIONE
Lo stage di laurea si svolto presso Besafe srl, unazienda formata da giovani imprenditori
professionisti con esperienze diversificate nel settore informatico. Lazienda che mi ha
ospitato costituisce una societ di servizi finalizzati alla progettazione, realizzazione e
gestione di infrastrutture informatiche destinate a piccole, medie e grandi imprese operanti
in tutti i settori del mercato mondiale. Il suo business si focalizza in ambito Networking,
Sistemi, Security e Servizi di Assistenza personalizzati fino a proporre soluzioni di
outsourcing del sistema informativo.

Nel presente lavoro di tesi si affrontata la progettazione di uninfrastruttura di rete per


laccesso a terminal server tramite lapparato SSL-VPN con lutilizzo di tecnologie di
strong authentication (OTP per laccesso al portale SSL e certificato digitale per il logon)
fornite da un unico token.
Questo lavoro di tesi rappresenta un lavoro reale eseguito presso un cliente della societ
che mi ha ospitato durante lo stage.
Il cliente in questione una societ di franchising che conta una rete di ben 60 agenzie
sparse per il territorio nazionale, in costante aumento; la natura di tale societ prevede la
gestione centralizzata delle applicazioni necessarie al proprio lavoro.

Prima di descrivere il lavoro svolto ho scelto di trattare teoricamente gli argomenti che si
vedranno poi applicati in pratica.
Il discorso di tesi comincia con una breve introduzione sullo stato della sicurezza
informatica in Italia ad oggi; il discorso molto interessante poich ho potuto riscontrare
realmente come nelle aziende la sicurezza sia vista come un costo da ridurre al minimo pi
che come un investimento sul quale costruire uninfrastruttura sicura e duratura.
Proseguendo il discorso va a trattare le motivazioni della sicurezza informatica
analizzando le nuove minacce con lo sviluppo delle infrastrutture.
Poi si passa al punto di vista dei sistemisti trattando come approcciare alla sicurezza per
valutare e agire al meglio nelle realt nelle quali ci si viene a trovare.
Gestire la sicurezza aziendale non significa solo accendere lultimo appliance che il
mercato offre ma vuol dire entrare a pieno nella conoscenza dei problemi, rischi e pericoli
con i quali lazienda si trova o si potrebbe trovare a che fare e implementare di volta in
volta le policy corrette.

Bisogna tener conto che investire poco o non investire affatto in sicurezza potrebbe
ricadere esclusivamente sulleconomia dellazienda poich se dovesse venire a verificarsi
uno dei fattori di rischio, le perdite per lazienda potrebbero essere enormemente superiori
al mancato investimento.
Il discorso di tesi passa ora a introdurre le soluzioni che sono state adottate partendo da un
discorso generale su crittografia, autenticazione, firewalling e VPN che sono gli argomenti
che si trovano nel progetto.
La Crittografia la si trova quando si parla di infrastruttura PKI e Certification Authority
che sono la teoria che sta a base dellutilizzo dei token di sicurezza; la si trova anche
quando si ha a che fare con protocolli di autenticazione come ad esempio RADIUS e SSL.
Per quanto riguarda firewalling e VPN ho scelto di fare un breve excursus sulle tipologie,
le funzionalit di base e quelle avanzate. Tutti argomenti con i quali mi sono dovuto
scontrare durante la realizzazione del progetto.
Il realizzazione del progetto descritta nellultimo capitolo. Le fasi di questa realizzazione
possono essere cos riassunte.
La prima fase ha comportato la raccolta delle esigenze manifestate dal cliente e ha fatto
emergere le seguenti caratteristiche della soluzione da proporre: stabilit, espandibilit,
interoperabilit con le nuove tecnologie (quali VoIP, ecc) e messa in sicurezza della
struttura informatica.
Dopo unattenta analisi delle esigenze sopracitate e delle problematiche presenti in quel
momento nella rete, s deciso di proporre una soluzione scalabile in grado di poter
procedere per passaggi, fino al conseguimento dellinfrastruttura ottimale senza impattare
troppo sul modo di lavorare degli affiliati.
Tra le fasi di implementazione del progetto finora svolte da notare lattivazione delle VPN
SSL tra agenzie e sede centrale e lattivazione della Strong Authentication per le quali si
trover una minuziosa descrizione.

Questo stage mi ha permesso, oltre alla realizzazione del progetto che citer in questo
lavoro di tesi, di occuparmi e acquisire conoscenze negli altri campi dellinformatica,
applicando e ampliando le conoscenze acquisite durante gli anni di corsi universitari;
facendomi rendere conto della fortuna avuta a frequentare questo corso universitario.

Sommario
CAPITOLO 1 - LA SICUREZZA INFORMATICA ..................................................................................... 1
LE RAGIONI DELLA SICUREZZA IT .......................................................................................................... 6
Verso unazienda aperta .................................................................................................................. 7
Levoluzione delle infrastrutture ...................................................................................................... 8
Dallanalisi di esigenze e risorse ai requisiti di protezione ................................................................ 9
Le minacce nellera del Web 2.0 ..................................................................................................... 12
Il calo dei virus e laumento dello spam .......................................................................................... 13
Ladware nuova fonte di reddito...................................................................................................... 13
Web 2.0 e Bot net ............................................................................................................................ 14
LA COMPLIANCE ALLE NORMATIVE ................................................................................................... 14

CAPITOLO 2 - LE SOLUZIONI PER LA SICUREZZA.............................................................................. 18


Cosa sintende per IT security ........................................................................................................ 18
Levoluzione delle soluzioni di protezione ...................................................................................... 20
UN APPROCCIO INTEGRATO ALLA SICUREZZA ................................................................................... 22
Un approccio sistemico .................................................................................................................... 24
La necessit di un responsabile ........................................................................................................ 25
Leccesso di informazioni ................................................................................................................ 26
Anticipare gli attacchi ...................................................................................................................... 27
Protezione multilivello ..................................................................................................................... 28
IL TREND DEGLI INVESTIMENTI IN SECURITY ..................................................................................... 29

CAPITOLO 3 - LA GESTIONE DELLA SICUREZZA ............................................................................... 32


Non solo tecnologia ......................................................................................................................... 32
Lanalisi del rischio ........................................................................................................................... 34
Identificazione delle risorse ............................................................................................................ 35
Identificazione delle minacce .......................................................................................................... 36
Vulnerability assessment ................................................................................................................. 37
La valutazione del rischio ................................................................................................................ 39
LE POLICY DI SICUREZZA ...................................................................................................................... 40

Analisi e progettazione delle policy ................................................................................................ 41


Implementare le policy ................................................................................................................... 41
Le aree interessate .......................................................................................................................... 42
Un piano di emergenza sempre pronto .......................................................................................... 43
IL COSTO DEL MANCATO INVESTIMENTO IN SICUREZZA ................................................................... 44

CAPITOLO 4 - LA CRITTOGRAFIA .................................................................................................... 47


PKI: LINFRASTRUTTURA DI SICUREZZA A CHIAVE PUBBLICA ........................................................... 48
La Certification Authority (CA) ....................................................................................................... 48
I token di sicurezza .......................................................................................................................... 50
Lintegrazione tra crittografia e analisi dinamica dei comportamenti ............................................ 51
La Certification Authority (CA) ....................................................................................................... 48

CAPITOLO 5 - AUTENTICAZIONE E IDENTITY MANAGEMENT .......................................................... 53


Le 3 A .............................................................................................................................................. 53
Implementare un sistema di autenticazione .................................................................................. 53
I PRINCIPALI PROTOCOLLI DI AUTENTICAZIONE ................................................................................. 56
Il Secure Socket Layer (SSL) ............................................................................................................ 56
RADIUS ............................................................................................................................................ 58

CAPITOLO 6 - I LIVELLI DI PROTEZIONE DEL FIREWALL .................................................................... 61


LE FUNZIONI DI BASE DI UN FIREWALL .............................................................................................. 62
La Network Address Translation (NAT) .......................................................................................... 63
Il filtraggio del traffico ..................................................................................................................... 65
LE TIPOLOGIE DI FIREWALL.................................................................................................................. 66
Packet filtering firewall ................................................................................................................... 66
Proxy server firewall ........................................................................................................................ 66
Stateful packet inspection firewall .................................................................................................. 67
LE FUNZIONI AVANZATE DI UN FIREWALL .......................................................................................... 69
La costituzione di una DMZ per proteggere la LAN ......................................................................... 69
Una barriera prima del tunnel delle VPN ........................................................................................ 70
Content filtering .............................................................................................................................. 71

II

CAPITOLO 7 - LAFFERMAZIONE DELLE VPN ................................................................................... 73


Le reti prima dellIP ........................................................................................................................ 73
Architetture e apparati per reti convergenti e VPN ....................................................................... 75
CONVERGENZA E VPN ALLINSEGNA DI IP ......................................................................................... 77
La sicurezza dei dati con le VPN ...................................................................................................... 78
LA REALIZZAZIONE DI UNA VPN .......................................................................................................... 79
Laffermazione dello standard IPSec nella realizzazione di VPN ..................................................... 80
Larchitettura IPSec .......................................................................................................................... 81
Autenticazione ed encryption per una VPN sicura .......................................................................... 83

CAPITOLO 8 - PROGETTO DI UNINFRASTRUTTURA DI SICUREZZA .................................................. 85


Situazione iniziale ............................................................................................................................. 85
Proposta soluzione ........................................................................................................................... 87
IPOTESI DI LAVORO.............................................................................................................................. 90
LSSL-VPN.......................................................................................................................................... 92
Il token.............................................................................................................................................. 94
Il TMS................................................................................................................................................ 94
SVILUPPI FUTURI .................................................................................................................................. 97

BIBLIOGRAFIA .............................................................................................................................. 99

III

IV

Capitolo 1

LA SICUREZZA INFORMATICA
gi qualche anno che il mercato della sicurezza informatica vive momenti di grande
fermento, come naturale per un mercato tutto sommato giovane. In effetti, si tratta di un
settore che nasce insieme ai computer stessi, ma fino a met degli anni Novanta rimasto un
segmento di nicchia, caratterizzato da tecnologie perlopi proprietarie.
Con la diffusione dei pc si cominciato a parlare di virus e antivirus, ma solo con
lesplosione della fase commerciale di Internet e con il proliferare delle reti che quello della
sicurezza diventato un problema di massa. Levoluzione, cui si assistito nella prima decina
di anni di questo rinnovato settore, stata segnata da cambiamenti notevoli sotto il profilo
tecnologico e non solo.
A ben guardare, fattore comune tra i settori ad alta dinamicit proprio Internet e la sua
influenza sulla societ umana, prima ancora che sulla tecnologia.
Oggi, quello della sicurezza un mercato sottoposto a forti pressioni, sul lato sia della
domanda sia dellofferta.
In questultimo, in particolare, si registra un processo di concentrazione, che sembra segnare
linizio di una fase di maturazione del mercato. In effetti, sono molte le acquisizioni che fanno
cronaca: alcune in buona parte tese ad aumentare la massa critica e molte altre necessarie per
consentire ad alcuni player di successo ma storicamente confinati in aree di nicchia di
arricchire il proprio portafoglio tecnologico.
Per quanto riguarda la domanda, invece, si osservato in Italia un marcato impulso degli
investimenti sulla spinta delle normative, soprattutto di quella legge nota come Testo Unico
sulla Privacy. Assolutamente condivisibili sotto laspetto degli obiettivi, tali normative hanno
aperto alcune diatribe sul fronte dellapplicabilit. Da qui sono divampate polemiche, per
esempio, da parte di chi ha visto un impoverimento del mercato, nonostante i grandi tassi di
crescita registrati negli ultimi anni. Lassioma di partenza su questo fronte che limprenditore
obbligato a investire per legge di fatto reagisce con fastidio puntando a spendere
semplicemente il meno possibile, senza un reale obiettivo e senza in realt la garanzia di aver
speso effettivamente il giusto per ridurre il rischio aziendale. Soprattutto viene contestato che
lobbligo porta a vedere la sicurezza come un costo, esattamente come ancora per molti vale

La sicurezza informatica

CAPITOLO 1

per tutta lICT e, quindi, perdendo di vista il valore innovativo della tecnologia e le opportunit
di business che invece si possono aprire.
Bisogna ammettere che a soffiare sul fuoco, peraltro, hanno contribuito e non poco tutti i
principali player della sicurezza che, almeno nella prima fase di sviluppo del mercato hanno
adottato una strategia del terrore, ponendo laccento sulla crescita delle minacce e del
rischio. Entrambi fattori indubbiamente impressionanti, ma cui solo recentemente sono stati
abbinati messaggi positivi sui vantaggi che derivano dalla sicurezza. Sono stati comunque i
segni della crisi a spostare le strategie, in quanto nessunazienda pi disposta a spendere
senza poter misurare il Roi degli investimenti. evidente che risulta difficile impostare un
progetto di sicurezza basato solo sulla protezione da probabili minacce, il cui risultato, se tutto
va bene, che non succede niente. Con un simile approccio, il ritorno sullinvestimento
solo evitare esborsi economici anche importanti in caso di attacco informatico: , cio, la
riduzione del rischio. Chi ha basato le proprie strategie di vendita sulla paura ha trovato terreno
fertile solo laddove la cultura del rischio era gi diffusa, cio dove esistevano i presupposti per
poter misurare tale rischio. Solo in tal modo, infatti, si pu usare tale misura per calcolare il
Roi. Ma per sfruttare la sicurezza in modo da aumentare il valore del business e arrivare a
misurare Roi decisamente pi tangibili, necessario compiere ulteriori passi avanti.
Approcci sistemici, basati su metodologie rigorose e codificate in best practice internazionali,
come lo standard BS7799 o ISO 27001, hanno permesso a molte imprese di scoprire il valore
di un sistema completo di ICT Security. A parte di chi sia il merito, se di vendor illuminati che
hanno spinto su tasti diversi o di aziende accorte che hanno saputo affrontare il problema
sicurezza con il giusto criterio, di fatto lapplicazione di analisi ben disciplinate in fase iniziale
ha consentito a molte imprese di approfittare degli assessment orientati alla sicurezza per
comprendere a fondo le dinamiche dei propri processi di business, con indubbi vantaggi anche
organizzativi. Come accennato, infatti, le imprese gi avvezze a gestire il rischio o, in altre
parole, quelle gi fortemente orientate a una corretta governance aziendale, sono state quelle
che prima di altre hanno direzionato il sistema di sicurezza sul binario giusto. Le imprese che
comunque sono partite collapproccio giusto, adottando pratiche gi consolidate a ragion
veduta, hanno compiuto un percorso inverso, arrivando a capire limportanza e i vantaggi di
una governance aziendale. Non un caso, perch, in buona sostanza, lobiettivo del legislatore
soprattutto quello di obbligare le aziende a ridurre il loro rischio. Il punto, sostenuto dai
pi, che tale obiettivo stato posto in secondo piano e che, pur essendo le best practice
indicate come un riferimento dalla legge o relativi regolamenti annessi, di fatto laccento viene
2

La sicurezza informatica

CAPITOLO 1

posto ancora una volta sullaspetto di protezione dei dati e sulla responsabilit in caso di
eventuali danni, anche nei confronti di terzi. Non essendoci precise indicazioni sui requisiti da
soddisfare per raggiungere la compliance, il risultato lincertezza. La conformit, in realt,
viene valutata da un controllore, che deve esaminare appunto il livello di rischio e confrontarlo
con il livello di sicurezza raggiunto grazie alle misure protettive adottate. evidente che un
approccio sistemico basato sulla valutazione del proprio rischio aziendale, porta direttamente
nella direzione della conformit. A tal riguardo, probabilmente, la legge avrebbe potuto aiutare
di pi le imprese a inquadrarne gli oneri.
I vantaggi di una corretta governance vanno in direzione del business, nel momento in cui non
ci si concentra solo sullaspetto dei costi, ma si impara a gestire il rischio collegandolo ai
processi aziendali. In particolare, sul lancio di nuovi prodotti o servizi, le aziende hanno spesso
difficolt a valutare i costi con precisione e quindi a fissare un prezzo adeguato a stabilire il
giusto rapporto tra domanda e offerta. Questo soprattutto negli scenari di mercato attuali, che
vedono nel Web uno strumento ancora giovane e in gran parte inesplorato per lo sviluppo del
business. Proprio su questo fronte, ladozione di un sistema di sicurezza completo rappresenta
un prerequisito fondamentale per il varo di attivit che possono portare grandi opportunit.
Lesempio pi lampante quello del mondo bancario. Se fino a poco tempo fa lattenzione era
concentrata sulle rapine oggi lo sul phishing e annesse frodi online, ma sulla sicurezza le
banche sono tradizionalmente impegnate e, appunto, hanno uninnata capacit a valutare il
rischio. Per questo rappresentano forse lavanguardia sul fronte dei servizi online resi possibili
dalla sicurezza. Gli investimenti in sicurezza, gi obbligatori, hanno spinto molte banche a
sfruttarli per avviare home banking, Internet banking e cos via. Certamente, unanalisi
semplicistica, ma tesa solo a esemplificare i benefici che si possono dedurre dalla compliance.
Il cosiddetto fenomeno del Web 2.0, che segna la consacrazione di Internet a nuovo media e
proietta diversi scenari di mercati innovativi e ancora da creare, dovrebbe ulteriormente
spingere verso una sensibilizzazione delle aziende nei confronti della sicurezza. Ladozione di
best practice resta probabilmente lunica strada sensata per valutare correttamente le proprie
esigenze e non perdere la bussola in un mare di offerte sempre pi caotico.
Sul fronte tecnologico, levoluzione dellofferta negli ultimi dieci anni circa stata
caratterizzata dalla rincorsa alla minaccia. Ogni nuovo tipo dattacco ha tipicamente
determinato la nascita di una nuova categoria di strumenti per la protezione: dal virus gli
antivirus, dallo spam gli anti spamming, dagli spyware gli anti spyware e via dicendo. La
rapidit con cui queste minacce hanno cominciato a diffondersi e, soprattutto, ad
3

La sicurezza informatica

CAPITOLO 1

autoduplicarsi, ha ben presto posto il problema di come riuscire a controllare tutto il traffico
dati per identificare queste diverse tipologie di minacce. Ancora una volta: si pone un problema
e il mercato risponde con una soluzione, cio le appliance. Sono queste ultime, infatti, le
protagoniste della sicurezza nei primi anni del 2000: soluzioni che portano in azienda
consolidati software carrozzati con hardware ottimizzati per soddisfare le esigenze di
protezione e al contempo di prestazioni, con una maggiore facilit di gestione. Su questa scia si
assistito a uno sviluppo di sistemi one box che hanno man mano affiancato in ununica
scatola pi soluzioni, arrivando a declinare in versione appliance vere e proprie suite di
protezione.
Nella sostanza, si tratta di una sorta di massificazione dellapproccio best of breed originale:
cio lintegrazione di tante soluzioni per quante minacce si vogliono fronteggiare. Se,
inizialmente, solo le grandi imprese si potevano permettere gli investimenti in competenze
necessarie per integrare sistemi sempre pi complessi, con le suite si apre il mercato anche alle
Pmi, che possono gestire un unico prodotto. La versione appliance dotata di supporto per il
remote management e proposta da un service provider ha consentito lo sviluppo del mercato
dei Managed Security Service (MSS). Finora, peraltro, confinato perlopi alla gestione dei
firewall.
Lultima generazione di suite/appliance si affermata nel corso del 2006 con la denominazione
di UTM (Unified Threat Management). Il primo indesiderato effetto del proliferare di soluzioni
UTM lapparente appiattimento dellofferta: perch mancando una definizione univoca
codificata, dietro lo stesso termine si ammassano sistemi molto diversi nella natura e nella
sostanza. Il fattore comune che si tratta di sistemi che combinano diverse soluzioni e
tecnologie di protezione. Poi, per, ci sono UTM che attuano una vera e propria integrazione di
queste ultime e altre che semplicemente si limitano ad attuare i controlli in parallelo. Ci sono
quelle che presentano una console di gestione unica avanzata e quelle che presentano
possibilit di management ridotte. Anche la stessa quantit di tecnologie presenti varia. Infine,
molto diverse possono essere le prestazioni, da valutare, inoltre, sotto il profilo del livello di
sicurezza garantito e sotto quello del throughput, considerato che tipicamente si tratta di
apparati che vanno in linea sulla rete.
In realt, i sistemi di Unified Threat Management, come suggerisce il nome, si occupano
comunque solo di un aspetto del problema sicurezza: la gestione delle minacce. Tra laltro,
senza risolvere appieno neanche questo. Infatti, la maggior parte delle soluzioni sul mercato
forniscono un all in one che, pur presentando tutte le funzioni, non le gestisce in maniera
4

La sicurezza informatica

CAPITOLO 1

integrata, tranne i sistemi pi avanzati dotati di un motore di correlazione e di una console che
effettivamente riesce a gestire in modo coordinato gli eventi registrati tramite le diverse
tecnologie. Anche con il supporto di adeguati strumenti di amministrazione, peraltro, la
complessit della tematica sicurezza pone grossi problemi di competenze. Le grandi imprese
sono le uniche che possono permettersi team strutturati, dedicandovi persone e investendo nella
loro formazione e certificazione professionale.
La carenza di specialisti, peraltro, non sembra spingere verso lalto gli stipendi dei
professionisti, perch, ancora una volta, la maggior parte delle aziende tende a sottovalutare il
problema della sicurezza e quello della compliance. In ogni caso, si tratta di costi difficilmente
alla portata della piccola impresa, mentre la media si trova in mezzo al guado. In tale
situazione, si stanno affacciando sul mercato servizi di nuova concezione. Si detto che gli
MSS tradizionali sono finora limitati e questo dipende in massima parte dalla diffidenza delle
imprese a dare in outsourcing un aspetto tanto delicato quanto la sicurezza delle informazioni
aziendali. Senza contare il problema della responsabilit legale. Per superare queste
problematiche sono stati pensati servizi che forniscono supporto per la gestione della
tecnologia e che, quindi, risolvono tutti gli aspetti legati alla complessit del threat
management.
Ancora una volta il focus, peraltro, sulla pur fondamentale protezione o, come si dice nel
settore, sullapproccio Bad Guys Out. Come accennato fondamentale anche ricercare i
benefici di unapertura sicura dei propri sistemi informativi, quindi non solo tenere fuori i
cattivi e pensare a evitare le intrusioni, ma anche creare le condizioni per cui i buoni possano
entrare e sviluppare cos il business. Non un caso che negli ultimi anni si sono sviluppate
notevolmente le tecnologie sul fronte del Good Guys In. Evoluzione soprattutto in chiave
Web, considerato che le 3A (Authentication Authorization Accounting) appartengono agli
albori della sicurezza. Nel mondo virtuale, sempre pi popolato da avatar e vissuto da
nickname le tecnologie di indentity e access management assumono un ruolo fondamentale.
In questa direzione si stanno attivando player innovativi per fornire comunque servizi di
outsourcing pi o meno parziali, combinati con servizi di consulenza. Prende sempre pi piede,
soprattutto presso la Pmi, lipotesi di nominare un responsabile della sicurezza esterno, come di
fatto accade per altre figure, quali il medico del lavoro o lRSPP (Responsabile del Servizio di
Prevenzione e Protezione) previsto dalla legge 626. Naturalmente con tutti i condizionamenti
del caso, in quanto la responsabilit dei dati, per la legge sulla Privacy, rimane il rappresentante
legale dellazienda, ma le varie figure intermedie che hanno la responsabilit dei sistemi e della
5

La sicurezza informatica

CAPITOLO 1

tecnologia possono essere consulenti esterni. Forse lunico modo per superare il problema dello
skill shortage.

LE RAGIONI DELLA SICUREZZA IT

Latteggiamento un tempo pi diffuso, quando in azienda si cominciava a parlare di sicurezza


informatica, era quello che molte societ del settore ancora oggi identificano come quello dello
struzzo. Una comprensibile ignoranza delle problematiche faceva ritenere che la probabilit
di subire un attacco informatico fosse molto bassa e che, tipicamente,questi eventi accadessero
a qualcun altro. Del resto, lo stesso atteggiamento, ancor oggi, si pu osservare se si esaminano
le procedure di sicurezza applicate in molte imprese, per esempio in materia di prevenzione
degli incendio, in generale, degli incidenti sul lavoro.
Eppure la sicurezza un concetto antico quanto quello stesso dazienda. La protezione del
patrimonio intellettuale, i brevetti, le barriere allingresso di una banca, i controlli alluscita da
una miniera di diamanti, le guardie giurate, sono tutti elementi volti a garantire la sicurezza
aziendale. Si potrebbe andare ancora avanti a elencare altri provvedimenti per la sicurezza
aziendale. La relativa giovinezza degli strumenti informatici e, soprattutto, la diffusione degli
stessi, cresciuta nellultimo decennio con lavvento di Internet, hanno posto una questione
culturale sul fronte della protezione logica dei dati e delle informazioni: da un lato, si
avvertita e si avverte una scarsa percezione di quello che significa ICT security, dallaltro una
mancanza di una reale percezione del rischio.
Oggi si parla dellera dellinformazione, per mettere in risalto limportanza crescente del
patrimonio della conoscenza come reale valore di unimpresa. Un concetto sul quale si pu
facilmente essere tutti daccordo, anche perch non una novit. Lo spionaggio industriale non
stato inventato con lavvento dei computer; eppure cos se non furto di informazioni e
know-how? Sono cambiati per gli strumenti, mentre il paradigma delle-business, che vuole
unimpresa affidare allIT tutte le attivit e tutti i processi di business, esalta il ruolo del
sistema informativo, facendone il deposito di quelle informazioni e di quel know-how che, in
precedenza, si poteva raggiungere solo violando archivi e casseforti.
Lestensione in rete dellazienda, il successo di Internet, intranet ed extranet hanno favoritolo
sviluppo di soluzioni e strumenti informatici, sia hardware sia software, che rispondono a
esigenze di protezione differenti dal passato. Un mondo quindi completamente nuovo che

La sicurezza informatica

CAPITOLO 1

coglie impreparate molte aziende: da un lato, c una scarsa percezione di quello che significa
IT security, dallaltro manca una reale percezione del rischio.

Verso unazienda aperta


Teoricamente, lunico sistema completamente sicuro quello totalmente isolato dal resto del
mondo. Evidentemente, non pu essere un sistema aziendale, che altrimenti risulterebbe
asfittico. Certamente, se si pensa comunque al mondo informatico di qualche anno fa, ci si
potrebbe chiedere quali sono le ragioni che portano ad aprire lazienda verso lesterno e,
quindi, che obbligano allintroduzione di un pi o meno accurato sistema di sicurezza.
Di fatto, volendo identificare con Internet la causa primaria di tutte le minacce alla sicurezza
del sistema informativo aziendale, andare online pu rappresentare un rischio elevato. Un
rischio che non si pu per fare a meno di correre: per restare al passo con i tempi, per sfruttare
i vantaggi competitivi delle nuove tecnologie, per poter godere di particolari condizioni che
una societ pu riservare ai partner commerciali comunicanti in intranet, per conseguire dei
risparmi con le VPN (Virtual Private Network) su Internet, per migliorare la comunicazione
aziendale, per fornire dei servizi ai propri clienti, per implementare un servizio di commercio
elettronico e cos via.
Non obiettivo di questa tesi dimostrare quanto sia opportuno introdurre in azienda tecnologie
di comunicazione e infrastrutture innovative, al solo scopo di giustificare il ricorso a un sistema
di sicurezza. Resta il fatto che tutte queste spinte verso lapertura dellazienda allesterno sono
una tendenza incontrovertibile che presenta indubbi vantaggi per le imprese, anche a fronte di
una maggiore esposizione al rischio di violazioni informatiche.
Si consideri lesempio del commercio elettronico. Analisi di settore lasciano intravedere un
crescente utilizzo di Internet come mezzo per compiere acquisti.
Quanto bisogner aspettare prima che questo mercato diventi interessante difficile da
stabilire, ma che siano migliaia di miliardi di euro o cifre molto inferiori che si sposteranno sul
commercio elettronico gi nei prossimi anni, gli investimenti per la creazione di un sistema di
e-commerce non cambiano molto.
Gi oggi, peraltro, si pu pensare di impostare la propria infrastruttura perch sia pronta a
garantire in tempi rapidi quelle caratteristiche di resilienza, upgrade prestazionale, ridondanza e
sicurezza che sono alla base di un sistema di servizi online.
Oltre a rappresentare una fetta di mercato interessante, gli utenti Web costituiscono
unopportunit per lo sviluppo di nuovi servizi e applicazioni. Senza contare altre forme di
7

La sicurezza informatica

CAPITOLO 1

comunicazione emergenti, per le quali cresce lesigenza di sviluppare servizi a valore aggiunto.
Il riferimento al mondo del wireless e della mobilit in generale, che pone altri e nuovi
interrogativi nei riguardi della sicurezza,ma che rappresenta un percorso inevitabile per molte
aziende moderne.

Levoluzione delle infrastrutture


Realizzare uninfrastruttura che sia in grado di garantire servizi a valore aggiunto a clienti
magari distribuiti sul globo o, meno ambiziosamente, mettere a disposizione della propria
clientela un contact-center che soddisfi le esigenze di un dipartimento di customer care, non
comunque cosa da poco.
Daltronde, levoluzione stessa delle tecnologie sta portando verso limplementazione di
architetture di rete convergenti e allemergere delle soluzioni di Virtual Private Network
(VPN). Altre tendenze, quali la server e la storage consolidation, che portano al
raggruppamento delle risorse in data center e alla riorganizzazione delle strutture aziendali, si
sommano a quanto descritto,
ponendo seri problemi intermini di management.
Aspetti che non devono agire come un freno, ma portare a un ripensamento complessivo della
propria infrastruttura e ad adottare strategie architetturali e di piattaforma che tengano conto di
fenomeni che sono in buona parte prevedibili e che,quindi, opportuno far entrare
nellequazione progettuale.
noto che le problematiche di gestione sono quelle che pi di altre innalzano il cosiddetto total
cost of ownership, ma risultano costi inevitabili quelli di gestione dellinformazione, elemento
sempre pi centrale e vero asset aziendale. Unottimizzazione in questo campo viene fornita
anche dai sistemi di sicurezza. Un approccio globale al problema, infatti, prevede la
realizzazione di policy molto precise e piuttosto rigide che consentono di aumentare il
controllo su tutto il sistema e di aumentare lefficienza oltre che la sicurezza delle
informazioni.
Se qualche azienda ancora crede di poter fare a meno della sicurezza perch ha
evidentemente deciso di porsi fuori del mercato, chiudendo la propria impresa allinterazione e
alla comunicazione diretta con partner e clienti. Ma anche se tale necessit non fosse sentita,
una qualsiasi azienda con pi di una sede si trova a dover affrontare il problema della
comunicazione intra-aziendale. Fino a qualche anno fa, lunica alternativa era quella di
rivolgersi a un carrier (solo Telecom Italia fino al 1994) per affittare una linea dedicata.
8

La sicurezza informatica

CAPITOLO 1

Certamente una scelta sicura, ma anche costosa. Oggi, con Internet, esistono alternative molto
pi vantaggiose, ma che pongono un problema di sicurezza: ecco un primo esempio di trade off
tra investimento in sicurezza e risparmio, con la possibilit di conseguire un vantaggio
competitivo.
Soprattutto con le VPN (Reti Private Virtuali), levoluzione delle reti ha sostanzialmente
modificato il rapporto tra rete trasmissiva e sicurezza. Inoltre,essa ha contribuito a esaltare i
concetti di qualit del servizio, che di per s gi un elemento di sicurezza, e a modificare
larchitettura delle reti con laffermazione di dispositivi specializzati, o appliance, volti ad
accelerare le prestazioni allinterno della rete, e di apparati di comunicazione, i gateway, tesi a
racchiudere la rete in una sorta di capsula che ingloba allinterno tutte le complessit
architetturali e tecnologiche e semplifica linterazione con lesterno.

Dallanalisi di esigenze e risorse ai requisiti di protezione


Il rischio il punto di partenza di ogni considerazione sulla sicurezza o, almeno, dovrebbe
esserlo, anche perch un concetto assolutamente radicato in unimpresa. I top manager,
infatti, sono abituati a gestire il rischio, a misurarlo e a sfruttarlo a proprio favore.
Sotto questo punto di vista, la sicurezza informatica si pu banalmente considerare uno
strumento di gestione del rischio. Peraltro, la complessit delle tecnologie rende il manager
spesso incapace di comprendere quali siano le reali minacce e, quindi,di valutare correttamente
quali asset aziendali siano in pericolo, nonch quanto sia grande tale pericolo.
Questo, per, non deve rimanere lunico approccio alla sicurezza, altrimenti potrebbe limitare
le scelte e le considerazioni allambito del threat management, cio a proteggere lazienda dalle
minacce, esterne o interne, ma non consentirebbe di sfruttare alcuni elementi abilitanti della
sicurezza. Le soluzioni di CRM (Customer Relationship Management) o di SCM (Supply
Chain Management), per esempio, sono un chiaro esempio di come si possano introdurre in
azienda nuove tecnologie per estendere e ottimizzare i processi di business. Queste attivit,
peraltro, richiedono necessariamente limpiego di tool di sicurezza al fine di garantire
lautenticit e lintegrit delle transazioni con clienti e partner. Anche qui esiste, in effetti, un
rischio: per esempio, che un cliente non riconosca un ordine. Esistono vincoli legali che vanno
rispettati, ma il governo italiano da tempo ha emesso leggi che consentono luso di strumenti
informatici per autenticare transazioni elettroniche.
Solo considerando tutti gli aspetti della sicurezza e,quindi,i rischi e le opportunit che
unazienda deve fronteggiare, possibile valutare correttamente quali soluzioni sono
9

La sicurezza informatica

CAPITOLO 1

indispensabili, quali utili e quali probabilmente inutili. In ogni caso, buona norma di business
misurare il pi accuratamente possibile il ROI (Return On Investment) della sicurezza, come di
ogni altra spesa, assumendo, pertanto, che si tratti di investimenti e non di meri costi.
Ogni azienda deve quindi valutare le proprie esigenze in termini di sicurezza, identificando le
aree di interesse e gli ambiti nei quali sar opportuno adottare opportuni strumenti.
necessario studiare le infrastrutture utilizzate, le applicazioni e i processi aziendali, al fine di
comprendere quali investimenti conviene effettuare.
Quello che emerge una sorta di trade off tra linvestimento richiesto e il livello di protezione
che si vuole o pu ottenere.
In altre parole, il costo della sicurezza assoluta certamente insostenibile per unazienda: si
pu considerare che sia virtualmente tendente a infinito. Ma esiste anche un altro problema:
troppa sicurezza, per assurdo, risulta controproducente, in quanto vincolerebbe cos tanto
lazienda da rallentarne lattivit e diminuirne la produttivit. Mentre, al contrario, un corretto
livello di sicurezza garantisce lo svolgimento regolare e competitivo del business e,
contemporaneamente, aumenta la produttivit e la redditivit dellimpresa.

Levoluzione di tecniche e rischi


La gestione della sicurezza ha visto modifiche molto profonde negli ultimi anni. Il
cambiamento delle modalit lavorative, e luso sempre maggiore di tecnologie di tipo online
hanno aumentato in maniera radicale i rischi a cui si espone unazienda.
In passato le problematiche della sicurezza venivano affrontate quando si era gi verificato un
problema e si cercava di rimediarvi nel pi breve tempo possibile, mentre oggi si tende a
10

La sicurezza informatica

CAPITOLO 1

privilegiare un approccio aziendale in cui ci sono risorse destinate a tempo pieno alla gestione
della sicurezza.
Questa filosofia va estendendosi anche al cliente, dato che la crescente offerta di servizi online
finisce per portare anche questa figura allinterno delle considerazioni generali della sicurezza
aziendale.
Il grande numero di attacchi legato in gran parte alla velocit e alla collaborazione.
Nellultimo decennio la velocit aumentata su due fronti: quello delle comunicazioni e quindi
della possibilit di diffusione e di replicazione di virus e worm, e quello legato allo sviluppo
del software, con tante nuove release ognuna delle quali pu portarsi dietro delle vulnerabilit.
Per quanto riguarda la collaborazione difficile immaginare oggi unazienda il cui lavoro non
sia il frutto di cooperazione fra due o pi dipendenti, se non di due o pi reparti; il lato
negativo, relativamente alla sicurezza che pi si mettono in condizione di collaborare due
utenti e pi si d spazio ad un uso illecito di questi strumenti.
Non bisogna dimenticare, infatti, che dagli Anni 90 ad oggi le conoscenze informatiche di chi
effettua degli attacchi vanno decrescendo: mentre le prime incursioni richiedevano conoscenze
avanzatissime dei sistemi e dei protocolli di comunicazione,oggi sono disponibili su internet
tantissimi strumenti che spaziano da semplici script a evolutissime piattaforme in grado di
decidere autonomamente quale attacco effettuare in base al sistema attaccato, che possono
essere semplicemente scaricati e lanciare senza sapere quali vulnerabilit del software o dei
protocolli sfruttino.
I cosiddetti script-kiddies, ovvero le persone con conoscenze tecniche molto limitate che
utilizzano questi strumenti quasi per gioco, hanno popolato le cronache dei giornali nel
febbraio del 2000 quando vennero effettuati i pi clamorosi attacchi di tipo Distributed Denial
of Service ai server di Ebay, di Yahoo!, di Amazon e molti altri causando danni per milioni di
dollari in mancati profitti. In particolare lattacco a Yahoo! ha raggiunto punte di Gigabyte di
traffico al secondo, mettendo bene in chiaro che un attacco DDOS ben orchestrato pu mettere
in ginocchio qualsiasi rete.
Si tratta di una tendenza in aumento, che render sempre pi probabile essere vittima di
attacchi e che sta mutando rispetto agli obiettivi, indirizzandosi sempre pi verso una logica di
profitto anzich di sfida.
Tutto ci porta verso un approccio integrato e olistico alla sicurezza. Negli Stati Uniti gi dal
Dicembre 2003 stata introdotta una Task Force per la Corporate Governance sotto il controllo
della National Cyber Security Partnership, il cui scopo di sviluppare e promuovere un
11

La sicurezza informatica

CAPITOLO 1

framework di gestione coerente, e guidare limplementazione delle politiche di sicurezza per le


aziende, le organizzazioni e gli istituti accademici.

Le minacce nellera del Web 2.0


Le pi recenti analisi concordano nellevidenziare che non sono pi i virus a preoccupare, ma
minacce pi sofisticate quali phishing, adware, spyware e botnet. Denominatore comune di
questi termini, oggi alla ribalta, il fatto che si tratta di azioni illegali orchestrate non pi dai
cosiddetti script kid, giovani in cerca di notoriet che si pongono obiettivi ambiziosi per
mettere alla prova le proprie capacit, ma organizzazioni criminali vere e proprie, che
utilizzano i ragazzi, spesso alloscuro del disegno complessivo, come braccio armato per le
loro malefatte. Obiettivo ultimo di queste organizzazioni guadagnare soldi: attraverso il furto
di identit, cio sottraendo e utilizzando in modo fraudolento dati degli utenti, numeri di carta
di credito, password e altro, oppure con il ricatto, per esempio minacciando unorganizzazione
di mettere ko i suoi sistemi Internet, o ancora sfruttando lingenuit di chi riceve mail
mascherate da richieste di beneficenza, pubblicit di prodotti super economici e via dicendo.
Ma c di pi. Chi scrive malware oggi condivide informazioni con i colleghi, mentre prima
non accadeva. Ormai vengono seguite le stesse fasi di sviluppo del software normale, secondo
il modello opensource, con il rilascio successivo di diverse versioni, il debug e via dicendo.
Inoltre, esiste un vero e proprio mercato delle vulnerabilit: chi ne segnala una viene pagato,
cos come avviene per le liste di indirizzi e-mail. E per trovare le vulnerabilit non c bisogno
di essere particolarmente competenti: esistono tecniche, chiamate fuzzing, che permettono di
effettuare lo scanning dei programmi in automatico. Questi speciali tool possono essere lanciati
anche su un pc portatile, poich non serve una macchina particolarmente potente. Il mercato
delle vulnerabilit ormai alla luce del sole, tanto che qualcuno, qualche mese fa, ne mise una
relativa a Excel allasta su eBay: il portale se ne accorse, e cancell lasta prima della fine.
Come conseguenza di ci, continua ad aumentare il numero di attacchizero day, che
sfruttano vulnerabilit ancora non note e per le quali non sono disponibili patch, malgrado le
software house stiano riducendo i cicli di rilascio delle patch, che, in molti casi, hanno ormai
cadenza costante. Ci fa s che sia pi breve il periodo di rischio cui sono esposti gli utenti.

I calo dei virus e laumento dello spam


La riduzione del numero di virus in circolazione sotto gli occhi di qualunque utente di pc.
Dati recenti parlano di una mail infetta ogni 337, pari allo 0,3% del totale, e, in ogni caso,
12

La sicurezza informatica

CAPITOLO 1

nessuno dei virus emersi nel 2006 ha causato unepidemia, come avveniva in passato. Se da un
lato, come accennato, questo calo si deve allo spostamento delle energie degli hacker verso
attivit pi redditizie, dallaltro non va dimenticato che ormai quasi tutti i pc sono protetti da
antivirus costantemente aggiornati, che riducono significativamente le preoccupazioni e i
danni. In effetti, sono oltre 200mila le varianti di virus attualmente in circolazione, ma i tool
per lindividuazione e la rimozione sono diventati accurati e largamente disponibili.
Un problema in costante crescita , invece, quello dello spam, che secondo alcune fonti
raggiungerebbe oggi una percentuale pari all80 90% del totale delle mail in circolazione. Il
costo associato notevolissimo, sia in termini di tempo perso per cancellare le mail sia perch
lo spam rallenta i sistemi, intasando le reti trasmissive. Per non essere individuati, gli spammer
ricorrono a trucchi come quello di utilizzare domini poco noti e che cambiano con una rapidit
impressionante. Le tradizionali blacklist degli anti spam impiegano circa 20 minuti per
bloccare un sito, ed questo il ritmo tenuto dagli spammer nel modificare lURL di
provenienza. Dato che registrare un dominio costa pochi dollari, il vantaggio economico
comunque notevole. Inoltre, utilizzano i nomi di dominio di piccole isole, come quella di Man
o quella minuscola di Tokelau, nel Pacifico,un fenomeno noto comespam-Island hopping.
Legato allo spam il phishing, ovvero linvio di mail che sembrano provenire da unazienda
reale, come una banca o un sito di e-commerce, con lobiettivo di estorcere informazioni
riservate. Nel 2006 ne sono stati censiti circa 17mila, secondo Secure Computing Research.
In effetti, oggi i tool necessari per attivit di spamming e phishing sono pubblicamente
disponibili su Internet, mentre possibile acquistare elenchi di indirizzi validi con milioni di
nominativi per poche decine di euro.

Ladware nuova fonte di reddito


Una delle principali fonti di profitto su Internet ladware, il software che si installa sul
computer della macchina utente e lancia dei pop up pubblicitari mirati, in base a dati di
marketing raccolti attraverso lo spyware. I due concetti, spyware e adware, sono, infatti,
strettamente legati. Si tratta di una minaccia che non sar debellata tanto facilmente nel
prossimo futuro, perch ha un buon ritorno economico, considerati gli elevatissimi volumi su
cui agiscono. Il modello delladware nasce in modo legale, ma gli hacker si introducono nei
computer senza permesso, prendendo a volte denaro dalle societ coinvolte, oppure dirottano i
pagamenti verso di loro. Dati rilevati a maggio del 2006 parlano di 700 famiglie di adware con
oltre 6000 varianti.
13

La sicurezza informatica

CAPITOLO 1

Le principali fonti di malware, cio i siti che dispensano il software allignaro visitatore, sono
quelli pi gettonati, come quelli dei divi o di eventi sportivi molto seguiti: i mondiali di
Germania, per esempio, hanno portato alla circolazione di un virus camuffato da foglio
elettronico della classifica, e di uno spyware nascosto in un salvaschermo.

Web 2.0 e Bot net


La diffusione delle nuove minacce su Internet oggi alimentata da due fenomeni. Il primo
quello delle cosiddette social network, o del Web 2.0. Ci si riferisce a quellinsieme di siti (da
You Tube a Wikipedia) in cui i veri protagonisti sono gli utenti, che possono pubblicare
direttamente i propri contenuti. Al successo di questo fenomeno si accompagna, secondo gli
addetti ai lavori, un aumento delle problematiche di sicurezza, prima fra tutte il furto di
identit: gli utenti si sentono fiduciosi e lasciano in rete non solo le generalit, ma anche i
propri interessi e le informazioni sulla propria vita privata,tutti dati utili per truffe mirate.
Da ultimo, ma non per importanza, va citato lemergere dei Bot net (termine derivato da
Robot), universalmente considerati la principale minaccia del momento. Si tratta di una rete di
computer che vengono di fatto controllati da un hacker, che li pu utilizzare per inviare un
attacco o uno spam su grande scala, senza che lutente del computer si accorga di niente. Il
fenomeno in espansione e si prevede che in futuro le Bot net, e chi le governa, assumeranno il
ruolo di centrali distribuite di comando e controllo. Inoltre,emerger lutilizzo di protocolli per
il controllo diversi dai tradizionali IRC (Internet Relay Chat) o HTTP. Gli autori di Bot
utilizzano sempre pi tecniche di sviluppo open source, con la collaborazione fra diversi
sviluppatori, e questo rappresenta un cambio importante nellevoluzione del malware, poich
lo rende sempre pi solido e affidabile. Si preannuncia,quindi,una crescita esplosiva del
fenomeno.

LA COMPLIANCE ALLE NORMATIVE


Le recenti normative in materia tecnologica e in particolare quelli relativi alla protezione dei
dati e alla sicurezza, a partire dal DPR 318 del 1999 per arrivare a quello che oggi noto come
Testo Unico sulla Privacy, hanno avuto il grande pregio di aver dato impulso al mercato.
Daltro canto, tali investimenti sono stati concepiti dalle aziende piuttosto come spese per
adempiere a un obbligo e, quindi, considerati come un costo improduttivo. Tutte le indagini di
settore sono concordi nel ritenere questultimo come lapproccio seguito dalla maggior parte
delle imprese italiane e non solo.
14

La sicurezza informatica

CAPITOLO 1

Il termine stessocompliance, del resto, secondo il dizionario della lingua inglese, significa
obbedire alle regole fissate da qualcuno. evidente che in tutto il mondo una legge
comunque vista come unimposizione. Poco importa, per esempio, se il Sarbanes Oaxley Act,
noto come SOX, sia stato varato per evitare casi come quello della Enron, dipingendo un
modello tutto sommato di buon senso e semplice trasparenza nella governance aziendale.
Quanti indossano le cinture di sicurezza in macchina solo perch previsto dalla legge, senza
considerare che statisticamente queste sono utili a evitare danni in caso dincidente e molto
spesso determinanti fino a salvare la vita? bene sottolineare che la SOX, la legge sulla
Privacy e quella sulle cinture di sicurezza non sono state varate per il bene del cittadino, ma,
pi correttamente in una societ democratica, costituiscono regole per la convivenza e fanno
da riferimento in caso di vertenze (per inciso: non si ha il diritto di schiantarsi contro il
parabrezza perch non si ha voglia di mettere le cinture, in quanto si crea un danno per la
societ e per gli altri, oltre e prima che per se stessi).
Il buon senso rende evidente, che dovendo comunque soddisfare la compliance, la cosa pi
intelligente trasformare tale obbligo in unopportunit di crescita. Trasformare, in altre
parole, quello che appare come un costo odioso in un investimento vantaggioso.
Sembrerebbe un classico consiglio buonista, bello in teoria ma poi di difficile se non
utopistica applicazione, se non fosse che molte pi imprese di quanto non si pensi hanno
affrontato la questione dal verso giusto, raggiungendo risultati. Diversi casi si trovano nel
mondo bancario, dove, per esempio, si approfittato della compliance per aggiornare i sistemi
di sicurezza, innalzando la stessa e aprendo i servizi online,generando pertanto nuovo business
e aumentando la raccolta del denaro.
Adottare lapproccio giusto pi facile di quanto possa sembrare. Infatti, semplicemente
opportuno concentrarsi sulle proprie esigenze di business, senza guardare nel dettaglio i
requisiti delle normative. Facendo riferimento alle generiche indicazioni della legge
internazionale e italiana o agli standard e alle best practice da queste ultime citate e prese a
modello, infatti, si ottiene tipicamente una lista di azioni e di controlli per la sicurezza, che
praticamente impossibile mettere tutti in pratica in un sistema unico, relativamente omogeneo e
umanamente gestibile. Se, poi, le imprese vogliono adottare il classico modello del best of
breed (anche perch la legge richiede di fare il massimo sforzo), palese che la security ICT
diventa ben presto una variabile impazzita ingovernabile.
Se, invece, si adotta il tradizionale approccio basato sulla misurazione del rischio, partendo
dai processi di business, dal loro valore e dallimpatto che un eventuale danno potrebbe portare
15

La sicurezza informatica

CAPITOLO 1

sugli stessi, si ottengono tutte le indicazioni necessarie per definire quali sono i rimedi per la
riduzione del rischio. Si pu cos progettare un sistema di sicurezza, il cui obiettivo principale
quello di garantire lintegrit del processo di business, ma che avr con ogni probabilit
leffetto collateraledi soddisfare la compliance.
Innanzitutto occorre considerare che qualsiasi legge contempla, di fatto, tre caratteristiche:
lassunzione di responsabilit, la trasparenza e la misurabilit. Il primo evidentemente parte dal
presupposto che se esistono delle regole queste possano essere trasgredite ed necessario che
qualcuno sia responsabile del rispetto di tali regole in azienda. Parlando di risk management,
peraltro, la legge tipicamente richiede che sia definito il responsabile o i responsabili che hanno
il potere di controllare il rischio. Per trasparenza sintende la conoscenza e la visibilit dei
controlli nella risk management e degli asset e processi di business che vanno protetti. Non si
tratta, infatti, di mettere una scatola in cassaforte, ma necessario entrare a fondo, per esempio
nei processi, per capirne il funzionamento e prevenire il modo in cui potrebbero essere
attaccati. La misurabilit necessaria per avere consapevolezza dei risultati ottenuti. palese
che si tratta di caratteristiche che dovrebbero essere comunque introdotte in azienda per la
stessa gestione dimpresa.
Ponendo laccento su queste tre caratteristiche si gi a met strada nel cammino verso la
compliance. Un altro punto fondamentale, consiste nel capire che questultima non costituisce
uno stato assoluto univoco. In altre parole, la compliance non raggiungibile in modo
inequivocabile e il suo soddisfacimento deve essere dinamico. Di fatto, il controllore (auditor
in dizione inglese) che stabilisce se un impresa in linea con legge. Se non si entra in una vera
e propria fase di trattativa, poco ci manca (c da scommettere sul fatto che ci accade
normalmente in molti paesi esteri). La documentazione pertanto fondamentale quanto il
sistema di sicurezza stesso. Documentazione che dovr testimoniare fino in fondo che quanto
stato implementato, la gestione dello stesso e tutte le azioni correlate alla sicurezza,
costituivano la sceltagiusta.
Con il pensiero rivolto agli obiettivi di business, la scelta non potr che essere giusta, perch
sar certamente tesa a proteggere le attivit pi preziose per lazienda: tipicamente quelle che
generano pi soldi. Cio le prime che vengono comune mente analizzate dai controllori.
Lapproccio olistico, che parte da una fase di risk assessment e costituisce un processo ciclico
per la sicurezza,porta in s il rispetto della compliance, a patto che non venga implementato un
sistema statico.

16

La sicurezza informatica

CAPITOLO 1

Lapproccio basato sul rischio (inteso come misura del danno eventuale e da non confondere
con la presenza delle minacce, che ineluttabile) ha il vantaggio di essere pi vicino al
business che al dipartimento IT, quindi anche pi facile da far comprendere al top
management. Si ottiene la compliance, ma si investe per garantire la sicurezza del business e
per rendere i processi IT allineati con questultimo.

17

Capitolo 2

LE SOLUZIONI PER LA SICUREZZA


Se,in pratica,ogni azienda ha bisogno di proteggere il proprio sistema informativo dagli
attacchi esterni che si fanno via via pi frequenti e pericolosi, di fatto, questo non si esaurisce
con lacquisto di software o hardware.
Soluzioni arcinote, come antivirus e firewall, sono certamente necessarie ma non sufficienti a
garantire la sicurezza aziendale.

Cosa sintende per IT security


Innanzi tutto occorre definire cosa si intende per sicurezza, perch, in effetti, se si parla del
piccolo ufficio di professionisti che impiega semplicemente le mail per comunicare con i
propri clienti ma senza neanche spedire documenti importanti, allora firewall e antivirus
potrebbero bastare.
Al crescere dellimportanza delle informazioni trattate e trasmesse dal sistema informativo
aziendale, aumenta la sensibilit verso i potenziali danni causati alle stesse e, di conseguenza,
sale il punto ideale di incontro tra costi e livello di sicurezza. Tutto questo perch sar sempre
maggiore limportanza data alle componenti del concetto di sicurezza dei dati: confidenzialit o
riservatezza, disponibilit, integrit, autenticit e non repudiation.
La confidenzialit implica che nessuno al di fuori di chi sia autorizzato possa avere accesso a
questi dati. Nessuna azienda vuole, per esempio, che un estraneo cacci la testa nei suoi libri
contabili, oppure copi un progetto o, ancora, che legga le e mail dellamministratore delegato o
dellultimo dei propri impiegati.
La disponibilit, che spesso anche un problema connesso con laffidabilit delle
infrastrutture, impone che gli utenti autorizzati possano accedere alle informazioni e ai servizi,
in modo da poter svolgere il proprio lavoro. Un disservizio pu avere ripercussioni notevoli
sulla redditivit di unimpresa o, nel caso di aziende che forniscono un servizio
pubblico,sullimmagine della stessa.
Lintegrit fondamentale perch non ovviamente possibile utilizzare un dato incompleto o
che sia stato alterato. Questo concetto assume unimportanza crescente nelle infrastrutture
multiservice di nuova generazione. Laddove il pacchetto dati trasporta un pezzo di una

Le soluzioni per la sicurezza

CAPITOLO 2

comunicazione audio o video, per esempio, la mancanza di integrit anche di una parte dei dati
pu determinare lincapacit dello stabilire la comunicazione.
In altri termini, il tasso accettabile di perdita dei pacchetti dati trasmessi risulta molto ridotto in
una rete convergente, che, tra laltro, dovr essere dotata di caratteristiche di Quality of
Service, rispetto a una rete best effort, allinterno della quale stato concepito il frame loss. In
questi casi, una corretta policy di sicurezza aiuta a impostare una rigidit della rete e, insieme
alla QoS, permette di rendere pi efficiente la gestione della rete stessa.
Una volta che nessun altro abbia letto linformazione, che questa sia disponibile allutente
autorizzato e che sia giunta integra, essa risulta comunque inutile o peggio dannosa se stata
falsificata. Lautenticit la garanzia che il dato ricevuto sia effettivamente quello trasmesso.
Ma non solo: importante anche lassicurazione che a trasmettere il dato sia effettivamente
stato il mittente indicato. Il destinatario di un messaggio deve essere sicuro che chi glielo ha
inviato sia esattamente chi dice di essere, cos come deve essere certo che il messaggio
originale non sia stato modificato,magari stravolgendone il contenuto.

Dualmente, la non repudiation autentica il destinatario nei confronti del mittente e garantisce il
primo dal rischio che il secondo non rinneghi il contenuto del messaggio. Se si implementa un
sistema di ordini online, necessario che chi emetta lordine non possa rifiutare il pagamento o
la consegna della merce, negando lordine stesso. Per questo, per, deve essere possibile
dimostrare sia lemissione dellordine sia che questo sia stato realmente effettuato dal cliente
reticente.
Tutte le minacce alla sicurezza, di fatto, toccano uno di questi aspetti: unintrusione mina la
riservatezza, un Denial of Service blocca la disponibilit, un virus distrugge lintegrit, un
defacement o uno spoofing intaccano lautenticit.
Per ciascuna di queste minacce esistono delle soluzioni che, pi o meno efficacemente, a
seconda delle capacit implementative, possono scongiurare il rischio. Data la vastit delle
problematiche, peraltro, evidente che lunico utile un approccio globale.
19

Le soluzioni per la sicurezza

CAPITOLO 2

Levoluzione delle soluzioni di protezione


Lauthentication e lencryption sono state le prime soluzioni di sicurezza IT a essere sviluppate
nella seconda met degli Anni 70 al fine di proteggere le trasmissioni dati da accessi non
autorizzati. Il problema, a onor del vero, sentito sin dallantichit (quando il mezzo di
comunicazione consisteva in messaggeri) e molti sono stati i metodi impiegati a questo fine.
Se si guarda alle attivit di protezione delle informazioni dal punto di vista della capacit
elaborativa necessaria, le tecnologie di autenticazione e di crittografia richiedono una
considerevole potenza di calcolo,con un impatto significativo sulle prestazioni di server e reti e
problematiche di scalabilit e implementazione.
Per ovviare a ci sono state sviluppate soluzioni hardware ottimizzate, note come
Accelerator, delle appliance di rete che sono dedicate alla esecuzione dei calcoli necessari
sgravando nei server dedicati alle applicazioni.
Scopo della crittografia ovviamente quello di proteggere la riservatezza dei dati, facendo in
modo che, anche quando venissero intercettati, questi risultino incomprensibili a chiunque
tranne agli utenti autorizzati, dotati delle chiavi giuste per decifrarli.
Lautenticazione necessariamente accoppiata allencryption, anche perch i primi dati a dover
essere crittografati sono proprio quelli che servono per autenticare sorgente e destinazione di
una comunicazione. evidente che una password che possa essere letta da chiunque, non
sarebbe di alcuna utilit e non garantirebbe lautenticit. Per contro,proprio la crittografia
basata su chiavi particolari consente di certificare lautenticit, oltre che della fonte, anche dei
dati stessi. A questo scopo sono state sviluppate soluzioni come la PKI.
Strettamente correlata con queste tecnologie la firma digitale, una certificazione virtuale
dellautenticit del mittente, ma anche un potente strumento di non repudiation (e cio di non
rifiutabilit del documento ricevuto), perch dimostrabile che solo uno specifico utente pu
apporre una determinata firma digitale. chiaramente la base di partenza per la realizzazione
di una transazione economica online, garantendole due parti e fornendo fiducia al sistema.
Agli inizi degli Anni 80, con la diffusione dei primi personal computer, sono apparsi i virus
informatici e, subito dopo, gli antivirus. I primi programmi erano relativamente semplici, non
necessariamente invasivi e incapaci di diffondersi troppo rapidamente.
Il mezzo di contagio erano i floppy disk, mentre oggi il sistema di propagazione preferito dai
produttori di virus la posta elettronica. Questo ha spostato la velocit di diffusione dallordine
degli anni (Michelangelo nei primi anni Novanta ce ne ha messi quattro per arrivare in quasi

20

Le soluzioni per la sicurezza

CAPITOLO 2

tutto il mondo) a quello di pochi giorni se non ore (ventiquattro sono le ore impiegate da I
Love You nel 2000 per raggiungere mail server in tutto il Globo).
Anche le tecniche di programmazione dei virus sono evolute, tanto che adesso sono nati
distinguo importanti, per indicare programmi con metodi di attacco diversi ed effetti molto
differenti e, spesso, devastanti. Gli antivirus, fortunatamente, sono evoluti con loro e
permettono di controllare le risorse, a partire appunto dalla connessione a Internet e dalla posta
elettronica, cercando di bloccare gli attacchi sul nascere. In generale, purtroppo, i primi a
essere colpiti sono indifesi, perch solo dopo la scoperta di un nuovo virus, worm, trojanhorse
o altro codice, possibile mettere a punto la cura e il vaccino.
Prima ancora di Internet, a dare una svolta alle problematiche della sicurezza ha provveduto la
nascita delle architetture LAN e dellinformatica distribuita. A partire dalla seconda met/fine
degli Anni 80, con la grande diffusione delle reti locali e dei modem, si sono diffuse le
architetture di accesso remoto, ponendo nuove problematiche di autenticazione e trasmissione
dei dati per utenti dial-in. Il passo immediatamente successivo stato quello
dellinterconnessione delle reti LAN di grandi aziende sparse sul territorio. Sui dispositivi per
linternetworking, i router,sono stati diffusi i primi sistemi di sicurezza per controllare gli
accessi.
In seguito, questi gateway si sono evoluti fino alla nascita dei firewall con lesplosione di
Internet nei primiAnni90.
Diventati presto indispensabili, i firewall controllano, identificano e filtrano il traffico in
entrata e uscita dalla LAN verso altre reti, tipicamente Internet. Tali soluzioni di protezione
perimetrale sono generalmente installate su server, router o dispositivi dedicati.
Tra le funzioni pi recentemente aggiunte a quelle elementari di tali dispositivi, grande
successo ha riscontrato la realizzazione di DMZ (Demilitarized Zone), che consente di creare
zone delimitate per fornire laccesso a determinate risorse, mantenendole per separate dal
resto della rete locale.
Le funzioni del firewall si vanno comunque estendendo, con la diffusione di soluzioni mirate
alla protezione non pi limitata solo al perimetro esterno. In questa evoluzione rientrano i
personal firewall, cio soluzioni pensate per la protezione della singola macchina. Questi
devono il loro successo alla crescita della diffusione dei notebook, dove, peraltro, il firewall
torna alla funzione di protezione perimetrale.
Pi a fondo, invece, arriva il concetto degli embedded firewall, che vengono integrati
direttamente sulla scheda di rete. Uno dei vantaggi della soluzione embedded consiste
21

Le soluzioni per la sicurezza

CAPITOLO 2

nellimpossibilit di manomettere il firewall agendo sul sistema operativo, che da sempre


rappresenta uno dei punti deboli delle installazioni di questo tipo di applicazioni.
La grande utilit dellaccesso remoto ha portato allo sviluppo di architetture di VPN (Virtual
Private Network). Le VPN consentono di estendere la rete aziendale attraverso limpiego di
linee trasmissive pubbliche. Particolare interesse suscita la possibilit di impiegare Internet
come rete pubblica, per via dei bassi costi indotti da una tale soluzione.
Le tecnologie di virtual private networking sono gi di per s un esempio di integrazione di
applicazioni di sicurezza. Per realizzare una VPN, infatti, sono necessarie soluzioni di
autenticazione (affinch alla VPN possano accedere solo utenti autorizzati), encryption (perch
i dati che viaggiano su reti pubbliche suscettibili di essere intercettati mantengano la
caratteristica di riservatezza), firewalling (per bloccare laccesso da e per la VPN) e tunneling
(per il trasporto di pacchetti afferenti a un particolare protocollo su reti differenti). Alle VPN,
inoltre, possono essere associate anche tecnologie di Quality of Service, a seconda dei servizi
che devono essere garantiti su queste connessioni. Quando lutente remoto si collega in
modalit wireless, inoltre, non stupisce che si vengano ad aggiungere ulteriori problematiche.
Lestensione delle reti, linterconnessione delle stesse, laumento delle minacce e della loro
pericolosit nonch la crescita delle stesse conoscenze degli hacker ha creato ulteriori problemi
alla sicurezza. Le soluzioni per rimediare si fanno pi sofisticate, ma, per esempio, un firewall
non pu essere mai sicuro al 100%. Per proteggere la rete allinterno del perimetro controllato
dal firewall e per verificare luso e labuso delle risorse, sono nati e si stanno diffondendo
sempre pi i sistemi di rilevamento delle intrusioni.
I primi intrusion detection system si sono sviluppati come applicazioni di auditing, atte a
controllare i file di sistema dei server, per verificare la presenza di manomissioni o le tracce di
intrusioni. Su un altro fronte, quello della rete, si sono sviluppate, invece, soluzioni che
partivano dai concetti di analisi delle caratteristiche della rete e del traffico. Dispositivi vicini
agli analyzer o agli sniffer, in grado di controllare i pacchetti o i protocolli della rete alla
ricerca di anomalie. Rappresentano una delle frontiere pi innovative nella lotta ai crimini
informatici.

UN APPROCCIO INTEGRATO ALLA SICUREZZA


Le diverse soluzioni per la sicurezza si sono evolute nel corso degli anni al fine di indirizzare
problematiche specifiche, andandosi cos a posizionare in punti precisi dellinfrastruttura di
elaborazione e comunicazione aziendale. Per esempio, lautenticazione sugli host centrali, in
22

Le soluzioni per la sicurezza

CAPITOLO 2

un primo momento, e sui gateway di accesso, successivamente, oppure i firewall a protezione


del perimetro applicativo e cos via.
Questa visione rifletteva la natura delle minacce, che, per, hanno imboccato la strada di
unevoluzione convergente. Gli attacchi, infatti, adottano tecnologie ibride che richiedono
strumenti altrettanto integrati se si vuole avere una ragionevole certezza che possano essere
rilevati.
Quello che sta emergendo uno scenario che vede laffermarsi di unarchitettura distribuita dei
sistemi di sicurezza, con linstallazione di soluzioni in modalit client server e con
lintegrazione di applicazioni inizialmente separate. Un esempio peculiare, a tale proposito,
sono i sistemi di intrusion detection.
Nati per essere posti allinterno della rete, si stanno spostando in tutti gli elementi
dellarchitettura, posizionandosi su host, segmenti di rete e client, sia allinterno della LAN sia
allesterno del firewall, come pure nella DMZ. Ma, addirittura, tali sistemi sono anche in grado
di colloquiare con analoghe soluzioni poste dagli Internet Service Provider a protezione delle
connessioni di rete. Senza contare poi linterazione degli stessi sistemi di IDS con i dispositivi
di firewall.

Un esempio immediato dei vantaggi che pu portare lintegrazione dei sistemi quello
dellautenticazione. Nei sistemi informativi aziendali gi di media dimensione ci si confronta
con lesistenza di directory multiple, che elencano gli utenti ciascuna secondo un proprio punto
di vista. Sono directory organizzate da ogni dipartimento aziendale, che per ogni dipendente

23

Le soluzioni per la sicurezza

CAPITOLO 2

elabora particolari informazioni. Cos come esistono directory impostate dalle particolari
applicazioni che devono servire.
Questa situazione porta a due ordini di problemi. Il primo vissuto dallutente, che deve
autenticarsi ogni volta che accede a unapplicazione, a un database o a un server diverso. Con
tutte le difficolt che questo comporta, quale il dover memorizzare pi user ID e password.
Alle volte le impostazioni delle applicazioni stesse impediscono di poter adottare lo stesso tipo
di identificativi: per esempio, un mail server potrebbe essere stato configurato dal responsabile
in modo che ogni account abbia come user ID nome.cognome, che difficilmente
impostabile come entry di un sistema legacy.
Il secondo problema di carattere gestionale, con una mole di dati che si replicano e sono
difficili da mantenere aggiornati e consistenti. Si pensi allimpiegato che lascia il posto di
lavoro: il suo account deve essere cancellato da tutti i sistemi singolarmente. La situazione
tipica che, in una buona percentuale dei sistemi, i privilegi di accesso del dipendente
rimangono attivi anche a distanza di molti mesi dalle sue dimissioni o dal suo licenziamento.
Per risolvere questi problemi, che possono essere alla base di criticit nella sicurezza aziendale,
sono state sviluppate delle tecniche cosiddette di Single Sign On (SSO), tali per cui lutente ha
la necessit di autenticarsi una sola volta con un server centrale.
Sar poi questo a effettuare le autenticazioni successive mano a mano che lutente richiede
laccesso a un nuovo server o applicazione, facendosi in un qualche modo garante della sua
identit.

Un approccio sistemico
Per poter realizzare lintegrazione delle soluzioni di sicurezza, tanto pi quanto maggiore si
vuole che sia il livello dintegrazione, opportuno adottare un approccio sistemico, che
abbracci linsieme delle problematiche della sicurezza partendo dalle esigenze aziendali e
traducendo le stesse in policy di sicurezza. Queste andranno poi opportunamente adattate e
implementate nei vari sistemi in maniera consistente. Si ottiene, cos, un sistema robusto in cui
tutte le soluzioni collaborano alla protezione e alla prevenzione.
Un tale sistema, peraltro,non consiste solo in un insieme integrato di applicazioni, pi o meno
automatiche. Come gi evidenziato, la sicurezza anche una questione organizzativa.
Poco o nulla servono le precauzioni se, poi, nessuno le adotta. Le policy oltre che definite
devono essere implementate. Molte di queste, per, non sono automatiche o, comunque,
possono essere disattese dagli utenti, anche senza intenzioni dolose, ma semplicemente per
24

Le soluzioni per la sicurezza

CAPITOLO 2

accelerare il proprio lavoro (quanti hanno voglia o si ricordano di lanciare il backup


periodicamente?).
Le policy diventano procedure e una certa attenzione richiesta, come, per esempio, quella di
non lasciare appuntate le password su foglietti (tipico il post-it giallo sotto la tastiera).
A caratterizzare pi di ogni altra cosa un approccio sistemico,peraltro, la visione della
sicurezza come processo continuo. Si detto che il punto di partenza deve essere il rischio:
comprendere quali sono le informazioni e le risorse che hanno bisogno di protezione e,
soprattutto, quali sono i danni che si conseguirebbero in caso di perdita delle stesse. Si ottiene,
cos, una misura degli investimenti che sar opportuno realizzare. Una volta progettato di
conseguenza il sistema di sicurezza, questo va implementato con tutte le implicazioni di
carattere organizzativo cui si accennato, anche in termini di definizione di policy aziendali.
Il passo successivo quello del controllo e della manutenzione del sistema. Questo, per,
implica il continuo aggiornamento delle soluzioni, perch stiano al passo con levoluzione
delle minacce, ma anche ladeguamento di tutta larchitettura del sistema alle variazioni dello
scenario complessivo. la stessa azienda soggetta a cambiamenti: si pensi alle acquisizioni,
allistituzione di una nuova business-unit e a tutte quelle dinamicit che testimoniano il buon
stato di salute di unimpresa.
Periodicamente, dunque, necessario rimettere tutto in discussione, a partire dal rischio stesso
cui soggetta limpresa, mantenendo sotto controllo il sistema di sicurezza per verificarne la
robustezza (per esempio, con tecniche di vulnerability assessment) e ladeguatezza.

La necessit di un responsabile
Un sistema del genere deve essere quindi gestito sia nelloperativit di tutti i giorni sia nella
sua pianificazione complessiva. Entrambe sono fasi delicate, che richiedono un impegno
crescente allaumentare delle dimensioni aziendali, delle risorse messe sotto controllo e,
ovviamente, delle soluzioni implementate.
La complessit che ne emerge, unitamente allimportanza dei sistemi di sicurezza, suggerisce
la definizione di responsabilit ben precise, con la nomina di un responsabile della sicurezza. In
Italia, alcune normative impongono la presenza di un responsabile della sicurezza IT in azienda
(da non confondere con quello imposto dalla legge 626, che riguarda la sicurezza del posto di
lavoro). Il security manager, come viene spesso indicato con dizione inglese, preposto alla
gestione del sistema di sicurezza e pu essere perseguito anche penalmente (come prevede il
DPR 318) in caso di danni causati da inadempienze alla sicurezza da parte dellazienda.
25

Le soluzioni per la sicurezza

CAPITOLO 2

A seconda delle realt, potr essere necessario affiancare al responsabile uno staff, variamente
composto. Alcuni studi indicano come ideale un rapporto 1 a 25, tra personale dedicato alla
sicurezza e numero di postazioni (client, server e nodi di rete inclusi).
Nella realt, naturalmente, sono i budget IT a dettare le regole per il dimensionamento dello
staff.
Si consideri, per, che in unazienda di medie dimensioni, dotata di un sistema gi
minimamente sofisticato, sarebbe opportuno poter contare almeno su un responsabile, un
database manager, un addetto alla manutenzione e almeno un amministratore.

Leccesso di informazioni
Un problema derivante dallimplementazione di un sistema integrato non supportato da un
adeguato strumento di amministrazione legato alleccesso di informazioni che il security
manager si trova a dover gestire.
Ogni soluzione del sistema, dallantivirus al firewall, dai sistemi di rilevamento delle intrusioni
a quelli per il controllo degli accessi, alle soluzioni per lidentity management, alle sessioni
dautenticazione e cos via, genera delle informazioni, registrando gli eventi che sono tenute a
monitorare. Si stima che solo il firewall di una media organizzazione, come potrebbe essere
una banca, registra circa ventimila eventi al giorno.

La corretta introduzione delle policy di sicurezza in ogni dipartimento aziendale pu


comportare un ulteriore incremento della quantit di informazioni che vengono registrate,molte
delle quali relative allo stesso evento che viene registrato su pi fronti.
Sussiste, pertanto, un problema di integrazione, che, evidentemente, deve esser affrontato a
monte, in fase di progettazione, prevedendo da subito uno strumento di integrazione delle
diverse soluzioni, in modo da poter quantomeno raccogliere le informazioni su una base
omogenea e su ununica console di amministrazione centralizzata.
26

Le soluzioni per la sicurezza

CAPITOLO 2

Anche cos, peraltro, non pensabile gestire la mole di dati, se questa non viene
preventivamente filtrata da un sistema di reportistica intelligente che consente di visualizzare le
informazioni con formule di sintesi immediate, per esempio legate al rischio connesso con
levento.
Nel caso prima esemplificato, peraltro, questo non sarebbe probabilmente sufficiente, se non in
presenza di un motore di correlazione intelligente dei dati, che fornisce un primo elemento di
supporto alle decisioni, di cui lamministratore del sistema ha evidente bisogno, altrimenti non
avrebbe le capacit gestionali per reagire alle situazioni che potrebbero compromettere processi
e attivit essenziali per lazienda stessa. Senza contare che anche il semplice svolgimento delle
attivit quotidiane dellamministratore potrebbe risultare problematico.

Anticipare gli attacchi


La variet di minacce alla sicurezza informatica non cessa di sorprendere. Una recente notizia
che giunge dagli Stati Uniti riporta che un hacker, dopo essere riuscito ad accedere al sistema
informativo di unazienda, ne ha cifrato alcuni contenuti, indirizzando successivamente
allutente una richiesta di denaro di 200 US-$ da depositare su un conto in Internet in cambio
della chiave per sbloccare i file.
In realt la richiesta di riscattoin cambio di dati informatici non rappresenta una novit
assoluta e gli analisti, pur prevedendo possibili repliche di attacchi di questo tipo,non ritengono
che si sia di fronte a un nuovo trend a larga diffusione.
Questo episodio rappresenta, tuttavia, un punto di partenza interessante per una riflessione sulla
variet delle minacce che continuamente le aziende si trovano a fronteggiare per proteggere le
loro informazioni e dimostra che la fantasia degli hacker riesce ancora a superare le
previsioni dei professionisti della sicurezza.
Ogni volta che si mette a punto una tecnica di difesa, compare un nuovo tipo di minaccia.
cos che siamo passati dai virus, ai worm, ai trojan fino al pi recente fenomeno dello spyware,
ancora pi difficile da controbattere poich si colloca al confine tra lecito (o addirittura utile) e
illecito.
Quando la battaglia sembra vinta sul piano delle tecnologie, lo scontro si sposta
sullinterruzione di servizio, sullestorsione di informazioni attraverso tecniche di social
engineering o sul piano della truffa pi tradizionale, come il caso del phishing, con cui si
riescono a carpire informazioni bancarie simulando false richieste via mail da parte degli
istituti di credito. Non sono neppure mancati casi in cui gli hacker siano riusciti a sfruttare i
27

Le soluzioni per la sicurezza

CAPITOLO 2

comportamenti messi in atto dalle societ che producono soluzioni per la sicurezza per testare e
mettere a punto minacce particolarmente efficaci. Per queste ragioni, per esempio, le societ
che realizzano antivirus non diffondono mai informazioni su eventuali codici maligni
individuati, prima di avere reso disponibile un sistema di protezione.
Un altro aspetto che colpisce la facilit con cui possibile condurre un attacco, anche da
parte di chi non dispone di alcuna conoscenza specifica. Nellesempio descritto prima, lutente
stato contagiato dal virus accedendo a un sito Web, attraverso il quale lattaccante, sfruttando
una vulnerabilit nota di Internet Explorer, riuscito a scaricare sulla sua macchina del codice
ed eseguirlo. Per installare adware o spyware , infatti, sufficiente predisporre lexploit su un
sito Web, caricare un eseguibile e indurre gli utenti ad accedervi. Su Web sono disponibili tutte
le informazioni utili allo scopo, comprese quelle per copiare lo schema e adattarlo per frodi di
svariato tipo.
Il caso citato mette in evidenza anche un altro tema interessante, per certi aspetti collegato alla
facilit di lanciare un attacco. Si sta assistendo a un cambiamento negli obiettivi degli attacchi
basati su codice malevolo che risultano non solo sempre pi mirati, ma anche sempre pi
indirizzati a ottenere denaro. Sembrano, insomma, definitivamente terminati i tempi in cui gli
hacker violavano i sistemi per il gusto di unaffermazione personale.

Protezione multilivello
Gi da tempo la proliferazione delle minacce e la consapevolezza della protezione dei dati
come elemento strategico hanno messo in evidenza che non possibile gestire la sicurezza
allinterno dellazienda in modo manuale n, tanto meno, amatoriale. necessario personale
specializzato e dedicato e lutilizzo di sistemi in grado di automatizzare le azioni protettive e la
risposta agli attacchi.
Il passo successivo, che si evidenzia sempre pi, non solo nei messaggi di marketing, ma anche
nei prodotti resi disponibili dai vendor che operano nel settore dellITSecurity, che essere
reattivi non basta pi.
La prima ragione per cui lapproccio reattivo non sufficiente legata alla rapidit con cui le
minacce riescono a diffondersi e arrecare danni: si pensi che un virus pu impiegare meno di
15 minuti per diffondersi, a livello mondale, su centinaia di migliaia di computer.
Anche nel caso in cui si riuscisse, intervenendo sulla tecnologia, ad accelerare i tempi di
risposta, un sistema reattivo, basato sulla conoscenza della minaccia da cui difendersi, non
potrebbe fare nulla rispetto a minacce di nuovo tipo, i cosiddetti attacchi del giorno zero.
28

Le soluzioni per la sicurezza

CAPITOLO 2

Essere proattivi non per facile e richiede una sinergia tra soluzioni tecnologiche adatte e il
loro inserimento allinterno di una strategia specifica aziendale indirizzata alla sicurezza.
Da un punto di vista tecnologico la tendenza quella di utilizzare una combinazione di
tecniche differenti e di prevedere sistemi in grado di operare in modo coordinato a pi livelli,
in diversi punti della rete e capaci di intervenire in modo differenziato in funzione del livello di
rischio.
La sicurezza , infatti, sempre un compromesso tra obiettivi di business e requisiti operativi e
nel caso in cui si segua un approccio proattivo, particolare attenzione va posta alla
configurazione delle soluzioni e al loro corretto inserimento allinterno dellinfrastruttura, in
modo da evitare la generazione di falsi positivi, in grado di spostare il delicato equilibrio tra
vantaggi e svantaggi.
Un contributo importante per la realizzazione di un approccio proattivo fornito dalle nuove
tecniche di individuazione delle minacce basate sul riconoscimento delle anomalie di
comportamento: per esempio un eccessivo e ingiustificato flusso di traffico su una certa porta,
il comportamento di un protocollo oppure una chiamata alla rubrica da parte di un messaggio
di posta elettronica.
Altrettanto importante, per un approccio proattivo di successo, imparare dallesperienza,
prevedendo, allinterno del processo di protezione, lo spazio per un continuo feedback
proveniente dallanalisi dei risultati prodotti dai comportamenti adottati in precedenza.
Gli aspetti strategici sono altrettanto importanti. Da una parte opportuno predisporre un
disegno architetturale e regole di accesso alla rete che consentano, ai non autorizzati, di
raccogliere il minor numero di informazioni possibili. Dallaltro necessario, come sempre,che
venga diffusa una cultura della sicurezza tra il personale interno e che venga fatto comprendere
come, per esempio, la divulgazione di un insieme di dati apparentemente non correlati e di
poca importanza, possa rappresentare lelemento abilitante per lanciare un attacco efficace o
per diffondere informazioni riservate.
Per terminare, una nota positiva: lutente riuscito a sbloccare i file senza sottostare al ricatto,
grazie a un reverse engineering del Trojan che ha permesso di capire le modalit di azione del
(semplice) sistema di cifratura e di scrivere un decifratore adeguato.

IL TREND DEGLI INVESTIMENTI IN SECURITY


Gli investimenti in sicurezza informatica in Italia, secondo i dati del Rapporto 2006 pubblicato
da AiTech Assinform in collaborazione con NetConsulting, sono cresciuti nel 2005 del 16,3%
29

Le soluzioni per la sicurezza

CAPITOLO 2

rispetto al 2004, che pure aveva registrato un aumento del 14.1% su un 2003 protagonista di
grandi attacchi catastroficamente andati a buon fine. Eppure permangono parecchie ombre sul
grado di maturit manifestato dal mercato italiano.
Se si osserva pi nel dettaglio, si nota che a crescere sono soprattutto software (+18,0%) e
servizi (+21,3%), mentre lhardware si attesta su un incremento del 2,2%. In massima parte ci
facilmente spiegabile osservando che il valore reale delle soluzioni di security proprio nel
software e nei servizi, essendo il pezzo di ferro considerato ormai alla stregua di una
commodity. V pure da considerare che nelle appliance, in particolare quelle integrate di
ultima generazione, la parte predominante del prezzo ancora una volta determinata dai
moduli software scelti. Infine, molte imprese tendono a consolidare le risorse server e a
sfruttare quanto gi si ha in casa.
Se si guardano pi in dettaglio gli elementi che formano quelle cifre, si nota che i servizi sono
ancora costituiti nella maggior parte dalla consulenza per la progettazione e le fasi di
assessment in fase dimplementazione dei sistemi di sicurezza. Questo denuncia un mercato
giovane rispetto a quello di altre nazioni dove i sistemi di sicurezza aziendali sono gi alla
seconda o terza generazione. Le percentuali di penetrazione presso le imprese italiane delle
tecnologie e soluzioni di sicurezza portano alla stessa conclusione, mostrando come solo
antivirus (posseduto dal 97% delle aziende) e il firewall (71%, sempre secondo il Rapporto
Assinform 2006) siano largamente diffusi, seguiti dalle soluzioni per il monitoraggio degli
accessi, in crescita. Si tratta infatti di soluzioni basilari, che le imprese avrebbero dovuto
adottare da tempo (e in molti casi lo hanno fatto, a onor del vero, ma non andando poi oltre),
mentre buona parte del resto del mondo si convince sempre pi dei vantaggi potenziali
apportati da una strategia di governance della sicurezza, che contempli massicci investimenti
nellidentity management,quale elemento di collegamento tra lICT e il business.
Pi che le tecnologie, comunque avanzate e in continuo sviluppo, a consentire tale auspicabile
allineamento del business con lIT e specificatamente con lICTsecurity lapproccio
strategico che opportuno adottare nei confronti della sicurezza e della sua implementazione.
Senza bisogno daddentrarsi in dissertazioni sulleconomia mondiale, ma anche solo pensando
alla spinta sulla liberalizzazione cui si assiste in chiave europea soprattutto, facile
comprendere come la pressione della concorrenza si faccia ogni giorno pi forte, rispetto anche
solo a qualche lustro fa. La conseguente dinamicit del mercato gi da sola basterebbe a
sviluppare le tanti pressioni che agiscono sui responsabili del business in impresa. Tali
pressioni insieme ai diversi fattori che influenzano positivamente o negativamente il business
30

Le soluzioni per la sicurezza

CAPITOLO 2

si traducono problemi o obiettivi da risolvere o raggiungere da parte dellICT. Da notare che le


pressioni sono forti e non necessariamente dissimili in tempo di forte sviluppo economico
come di crisi. In realt dipendono essenzialmente dalla situazione in cui si trova ogni singola
impresa: chi avr mezzi e capacit, trover molto pi semplice e conveniente investire in
innovazione nel periodo di crisi e chi riuscir a farlo continuamente sar veramente vincente.

31

Capitolo 3

LA GESTIONE DELLA SICUREZZA


Non solo tecnologia
Si sta affermando sempre pi un concetto di sicurezza come elemento trasversale che permea, a
vari livelli, i processi di business e che quindi va gestito in modo sinergico a essi. Il fatto poi
che le informazioni siano sempre pi distribuite sia linterno che allesterno del perimetro
aziendale, verso clienti, partner e fornitori, incrementa la complessit e, di conseguenza,
complicala gestione.
La tecnologia certamente aiuta a predisporre misure di difesa ma, da sola, non in grado di
assicurare un livello di sicurezza adeguato a ogni esigenza aziendale, anche perch le aziende
rappresentano realt dinamiche in continua evoluzione.
Si evidenzia da ci la necessit di gestire opportunamente la security, prevedendo una continua
rivisitazione del livello di protezione a fronte dellevoluzione informatica e dei processi di
business aziendali. Emerge, pertanto, lesigenza di inquadrare i diversi aspetti di sicurezza
allinterno di una strategia aziendale specifica e coordinata, sorretta da una serie di policy e di
protocolli rivolti a delineare adeguate azioni che garantiscano il mantenimento dello standard
di protezione prefissato.
Al fine di semplificare questo tipo di azioni, lofferta dei vendor si orienta sempre pi verso
soluzioni integrate, non solo per quanto riguarda le tecnologie, ma soprattutto rispetto alla
possibilit di gestione unificata e centralizzata.
Spesso la semplicit gestionale viene utilizzata come importante leva di marketing. Tuttavia
non va dimenticato che gestire la sicurezza non un compito semplice cos come non si tratta
di un risultato banale quello di individuare, allinterno di ogni specifica azienda, il corretto
compromesso tra protezione, valore dellinformazione ed esigenze di continuit di business,
che condiziona le scelte tecnologiche, strategiche e di spesa per la sicurezza.
La scelta di gestione interna della sicurezza implica, innanzitutto, che esista una figura deputata
a occuparsene. Anche nelle realt piccole, in cui la dimensione finanziaria non consente la
presenza di una figura dedicata specifica (il security manager) essenziale che esista, in ogni
caso un responsabile: insomma qualcuno che abbia tra i propri compiti specifici quello di
occuparsene. Ovviamente dovr trattarsi di una persona con competenze tecnologiche adeguate

La gestione della sicurezza

CAPITOLO 3

e che abbia il tempo per aggiornarsi sulle nuovemacro vulnerabilit e minacce e risorse
sufficienti per affrontarle.
In ogni caso, per aziende anche minimamente strutturate, la figura del security manager si
appresta a diventare irrinunciabile. La presenza di un firewall e un antivirus, per lungo tempo
considerata esaustiva per assicurare la protezione aziendale, non deve essere considerata pi
sufficiente, anche per le realt piccole. Sono richiesti strumenti integrati, processi di
assessment delle vulnerabilit e una gestione e un controllo costante e dinamico delle soluzioni
e delle policy di protezione implementate.
Infatti, sempre pi frequentemente,le PMI hanno lo stesso tipo di problematiche e le stesse
esigenze delle aziende di livello enterprise, con linconveniente di disporre di risorse inferiori.
Daltra parte lofferta di mercato negli ultimi anni si occupata molto delle esigenze delle
aziende pi piccole e sono ormai disponibili, anche a costi accessibili alle PMI, soluzioni di
sicurezza con portata analoga a quelle di classe enterprise.
In molti casi, la consapevolezza da parte delle aziende dellimportanza della sicurezza e la
contemporanea constatazione di non disporre degli strumenti adeguati per affrontarla in modo
corretto internamente hanno indotto a indirizzarsi verso strutture esterne dedicate. I servizi di
sicurezza gestiti sono certamente un trend in continuo aumento.
Lofferta di servizi ampia e variegata e include la gestione e laggiornamento tecnologico nel
tempo di firewall, antivirus, IP/VPN, intrusion detection, vulnerability assessment, filtraggio
dei siti Web e reportistica su tutte le attivit sospette e bloccate.
La pi recente tendenza legata alla gestione della business continuity, mano a mano che,
come si diceva prima, questa si afferma come un aspetto trasversale tra sicurezza e business.
I vantaggi di affidarsi a una struttura esterna sono quelli tipici delloutsourcing: la possibilit di
avere una copertura 24x365 (essenziale per questi compiti), di potersi affidare a personale
specializzato dotato di tecnologie allavanguardia e costantemente in aggiornamento, che
effettui un monitoraggio costante e riveda periodicamente lesposizione al rischio dellazienda.
Un altro aspetto fondamentale la capacit dintervento rapido, in un ambito in cui la
differenza tra fermare un attacco entro pochi minuti oppure lasciarlo proliferare per unora pu
fare una grandissima differenza.
La contropartita rispetto a questa serie di vantaggi risiede nellaffidarsi a un soggetto esterno e,
in qualche modo, perdere una percentuale di controllo su alcuni aspetti gestionali o informativi.
In conseguenza di ci sta incontrando un crescente successo un approccio indirizzato
alloutsourcing parziale, in cui lazienda si affida a una struttura esterna per la verifica, il
33

La gestione della sicurezza

CAPITOLO 3

monitoraggio e limpostazione di alcune azioni automatiche di protezione, mantenendo per il


controllo sui propri apparati e sui processi gestionali afferenti alla sicurezza.

Lanalisi del rischio


Lanalisi del rischio il punto di partenza del processo di pianificazione di un sistema di
sicurezza IT aziendale. Prima di descrivere le fasi con cui si arriva alla sua valutazione,
occorre, per, definire che cosa sintende con rischio: esso una misura del danno che
consegue a un evento pericoloso, in funzione della probabilit che questo si verifichi
effettivamente. Solo una corretta valutazione del rischio permette a unazienda di stabilire
quale piano di intervento sia opportuno implementare al suo interno.
Tale analisi, inoltre, va ripetuta periodicamente perch lentit dei danni dovuti a un attacco
informatico segue la dinamicit dellazienda.
In altre parole,questultima, nel corso della propria esistenza, evolvendo,modifica le proprie
risorse e le esigenze di business (ad esempio attraverso fusioni o acquisizioni aziendali).
Daltro canto, anche le condizioni esterne variano: gli hacker scoprono nuove vulnerabilit dei
sistemi, inventano altre tecniche e via dicendo; di conseguenza cambia il rischio ed
necessario rimettere tutto in discussione.
Il rischio, dunque, tanto pi alto quanto pi elevato il valore della risorsa che si ritiene di
dover proteggere e quanto maggiore la minaccia che incombe su quella risorsa; unazienda il
cui asset principale rappresentato dalle informazioni, potrebbe restare distrutta dalla perdita
delle stesse (per esempio, si pensi a unassicurazione che si vedesse cancellare tutti i dati
relativi alle proprie polizze).
Le minacce sono tipicamente classificate in tre categorie:calamit naturali,minacce intenzionali
e minacce involontarie.

34

La gestione della sicurezza

CAPITOLO 3

Lanalisi del rischio pu invece essere scomposto nelle seguenti fasi:


identificazione o classificazione delle risorse da proteggere;
identificazione delle minacce cui sono soggette le risorse (insieme e singolarmente);
identificazione delle vulnerabilit (o vulnerability assessment, come pi
comunemente indicata usando il termine inglese);
valutazione del rischio.
Identificazione delle risorse
La prima fase consiste nella realizzazione di un inventario delle risorse informative. Vanno
considerate, in questa analisi, sia tutte le informazioni che vengono prodotte in azienda, con
qualsivoglia strumento, sia tutti i mezzi dellinfrastruttura IT (dai server alle workstation, dalle
reti alla loro banda, fino ai dischi, ai nastri di backup,ai cavi e cos via).
Per ciascuna risorsa, quindi, deve esserne calcolato il valore. In particolare, per quanto riguarda
le informazioni, queste andranno confrontate con gli obiettivi primari della sicurezza, vale a
dire confidenzialit, integrit e disponibilit.
Le risorse informatiche e di comunicazione, invece, sono importanti essenzialmente ai fini
della disponibilit e vanno valutate in funzione delle loro criticit allinterno dellazienda. Un
server, per esempio, tipicamente pi importante di una workstation, il router per il
collegamento a Internet normalmente pi utile di quello che consente la connessione a un
ufficio distaccato con poco personale part time, ma potrebbe essere vero il contrario se
questufficio lagenzia periferica di una banca che, attraverso quel router, effettuai resoconti
giornalieri.
Ulteriori elementi che opportuno considerare nella valutazione della specifica risorsa o
tipologie di risorse sono i costi per la perdita o il suo danneggiamento, in termini di profitto,
tempo perso ed esborso per eventuali riparazioni. Un inventario dovrebbe definire,per ciascuna
risorsa,le seguenti classi di dati:
tipo di risorsa (se si tratta di dati, hardware, software o altro);
criticit (se un sistema generico o mission critical);
propriet delle informazioni;
posizione fisica o logica della risorsa;
numero di inventario (nel caso sia disponibile);
informazioni relative ai contratti di manutenzione in essere per la risorsa(in termini di
livelli di servizio, garanzie, contatti, processo di sostituzione e cos via).
35

La gestione della sicurezza

CAPITOLO 3

Ai fini della protezione delle risorse (in particolare delle informazioni),che rimane il fine
ultimo, il dato pi importante quello della criticit. Tanto che opportuno essere piuttosto
rigorosi nel definirla, ricorrendo eventualmente a una sorta di classificazione e dividendo, cos,
le informazioni in:
Sensibili: Sono le risorse pi importanti, che vanno protette da eliminazioni o modifiche
non autorizzate, garantendone disponibilit e integrit, oltre che riservatezza. In
generale, sono dati che devono essere protetti con pi di una normale garanzia di
accuratezza e completezza. Le transazioni finanziarie o le azioni legali dellazienda
sono due esempi di questo tipo di informazioni.
Riservate: Anche in questo caso va assicurata la riservatezza. Si tratta perlopi di dati
destinati a essere rigorosamente utilizzati solo allinterno dellimpresa. Per questa
categoria di informazioni il danno maggiore potrebbe derivare da una loro divulgazione
non autorizzata. Per esempio, informazioni riguardanti i risultati finanziari o lo stato di
salute di aziende private.
Private: Per certi versi si potrebbe considerare una classe della categoria precedente.
opportuno, per, considerarla a parte perch vi rientrano i dati che sono soggetti alla
normativa sulla privacy e che, conseguentemente, potrebbero portare a ripercussioni
legali per il responsabile della sicurezza se divulgati senza autorizzazione. Vi
appartengono, per esempio, tutti i dati sul personale e sui clienti.
Pubbliche: In questa categoria rientrano tutti i dati che non sono contemplati
esplicitamente in una delle tre categorie precedenti. In generale, sono informazioni la
cui divulgazione non avrebbe serie conseguenze.

Identificazione delle minacce


Le minacce possono essere di diversi tipi, che devono essere considerati in relazione con le
caratteristiche dellazienda. Queste vanno esaminate e valutate sia in termini di locazione
geografica, sia (e soprattutto) in riferimento alle attivit e al modello di business. Pu essere
abbastanza logico, ad esempio, che una banca sia maggiormente esposta a minacce di tipo
volontario di quanto non lo sia una catena di ristoranti. Peraltro, in alcuni casi, possono entrare
in gioco considerazioni di carattere socio politico che influenzano la valutazione della
minaccia.
Ognuno dei modi in cui una risorsa pu essere danneggiata, alterata, rubata, distrutta o resa
inaccessibile, costituisce una minaccia. Tra questi bisogna considerare sia quelli volontari sia
36

La gestione della sicurezza

CAPITOLO 3

involontari, senza dimenticare le catastrofi, quali incendi, terremoti e inondazioni, che in molte
zone dItalia si presentano con una frequenza tuttaltro che trascurabile.

Vulnerability assessment
Come osservato in precedenza, le minacce possono essere di tipo imprevedibile, spesso riferite
in letteratura anche come minacce naturali. Rientrano in questa categoria catastrofi quali
inondazioni e terremoti, ma anche, quindi con unaccezione pi ampia, incendi, attentati e cos
via. La probabilit che queste minacce si verifichino non regolabile con un sistema di
sicurezza IT e dipende da condizioni essenzialmente esterne allazienda. Vanno evidentemente
considerate e possono essere misurate (la probabilit di uneruzione alle pendici dellEtna
ovviamente maggiore che sulla riva del Po, viceversa per uninondazione). In questi casi le
tecniche adottabili per la protezione delle informazioni sono quelle tipiche del disaster
recovery.
La tipologia di minacce che invece sono generalmente indicate come di origine umana, ma che
sono riferibili in senso pi ampio come prevedibili, in quanto vi rientrano anche guasti del
software o dellhardware, possono essere suddivise in volontarie (o dolose) e
involontarie (o non dolose).

Le minacce considerate involontarie sono, generalmente, quelle derivanti da un errore di un


dipendente o alla sua ignoranza. Possono essere molto gravi, e causare danni ingenti
direttamente (con leliminazione o la modifica di dati conseguente a un uso maldestro delle
applicazioni) oppure indirettamente (con lapertura di una falla nel sistema di sicurezza a causa
del mancato adempimento delle policy per negligenza o disattenzione). Per ridurre il rischio di
queste minacce opportuno, innanzi tutto, condurre una campagna di sensibilizzazione interna
alla sicurezza. essenziale, in particolare, che i dipendenti siano a conoscenza delle
conseguenze del loro comportamento scorretto non solo sul piano pratico ed economico, per
37

La gestione della sicurezza

CAPITOLO 3

quanto concerne lazienda, ma anche su quello legale, che li potrebbe coinvolgere direttamente.
Tra le minacce involontarie rientrano anche i guasti dellhardware o i difetti del software, la cui
probabilit di accadimento pu essere calcolata, in funzione delle caratteristiche di partenza
delle risorse (un server fault tollerance fornisce garanzie di affidabilit e disponibilit, come
pure uno storage con supporto RAID e via dicendo) e misurata, con un controllo periodico del
loro stato.
Le minacce volontarie o dolose sono certamente da considerare le pi pericolose. Esse sono di
natura umana e derivano da un attacco mirato che pu provenire tanto dallesterno quanto
dallinterno dellazienda. Tra i due casi, lultimo presumibilmente il peggiore anche perch
pi difficile da rilevare e prevedere. Questo tipo di minacce deriva da attacchi che sfruttano
tipicamente le vulnerabilit del sistema di sicurezza o in maniera opportunistica (un hacker che
casualmente durante scansioni a pioggia trova un buco in un sistema e vi entra) o mediante
unaccurata pianificazione. Tra i metodi di attacco si ricordano: il social engineering (cio una
vera e propria attivit spionistica, tesa a ottenere informazioni dirette dagli utenti, usando una
falsa identit); virus, worm e cavalli di Troia; Denial of Service (che mette, per esempio, un
server in condizioni di dover negare il servizio); rinvio dei pacchetti; modifica dei pacchetti; IP
spoofing (tramite il quale lhacker sostituisce lindirizzo IP della propria macchina con un
altro, tipicamente della rete che sta attaccando); password guessing (il tentativo di indovinare o
calcolare una password).
Considerandole varie minacce (che peraltro possono essere anche di tipo misto), possibile
determinare quali vulnerabilit possono essere sfruttate. Le vulnerabilit sono, in generale,
dovute a errori o trascuratezze di gestione: una configurazione superficiale, un bug del
software, una versione non aggiornata dellantivirus e cos via. Si consideri, per esempio, il
sistema operativo della macchina su cui installato il firewall. Da esso dipende questultimo,
che pu essere disabilitato facilmente se sul sistema operativo stesso non stata disattivata la
corrispondente funzione. Per quanto riguarda le modalit di gestione importante tenere
presente che, praticamente, tutti gli attacchi sfruttano delle vulnerabilit note che possono
essere riparate, spesso, con largo anticipo rispetto al momento in cui pu verificarsi un attacco.
Il vulnerability assessment consiste in una serie di tecniche e tecnologie per il controllo dello
stato di salute di tutte le risorse, comprese soprattutto tutte le soluzioni di sicurezza. Queste
possono essere mantenute aggiornate effettuando una scansione periodica delle risorse e
pianificandone levoluzione. Peraltro, sono sempre pi comuni opzioni di aggiornamento
automatico disponibili anche sotto forma di servizio.
38

La gestione della sicurezza

CAPITOLO 3

La valutazione del rischio


Una volta ultimate le tre fasi precedentemente illustrate, occorre un lavoro di sintesi che porti
alla valutazione del rischio. Per questo possibile operare in diversi modi, con scuole
metodologiche diverse. I risultati possono essere classificati con un maggior o minor livello di
dettaglio e la valutazione pu essere sia di tipo qualitativo sia quantitativo, includendo, per
esempio, valori numerici del rischio espressi in percentuali del fatturato. Una linea guida che
sta assumendo un ruolo di standard nel settore rappresentata dalla normativa ISO17799 /
BS7799. Esistono in ogni caso delle caratteristiche fondamentali che opportuno siano
presenti in ogni analisi del rischio:
riproducibilit e ripetitivit: dato che occorre ripetere periodicamente il processo e al
fine di ottenere risultati confrontabili con i precedenti opportuno che lanalisi possa
essere condotta con le stesse procedure;
comprensibilit: il rischio deve essere espresso, qualitativamente o quantitativamente
che sia, in forma chiara atta a definire la successiva strategia di protezione;
condivisibilit: i risultati dellanalisi devono essere condivisi tra le diverse funzioni
aziendali e deve essere condotta una campagna di sensibilizzazione interna, che
costituisce la prima forma di protezione;
consistenza: la valutazione del rischio funzione delle policy di primo livello, per i cui
i valori attribuiti alle risorse devono essere consistenti con gli obiettivi di riservatezza,
integrit e disponibilit;
riutilizzabilit: i risultati delle varie fasi devono poter essere reimpiegati,al fine di
accelerare i successivi processi e consentire economie di scala (per esempio, il
vulnerability assessment potrebbe essere condotto indipendentemente, pi di frequente
di tutto il processo di analisi del rischio);
adeguatezza: la valutazione del rischio non pu portare alla definizione di strumenti e
policy di sicurezza incomprensibili per la cultura aziendale che, altrimenti, non
sarebbero rispettivamente utilizzati e seguite;
rapidit: i risultati dellanalisi devono essere disponibili in tempi utili per poter
procedere alla fase di implementazione del sistema di sicurezza o del suo
aggiornamento.

39

La gestione della sicurezza

CAPITOLO 3

LE POLICY DI SICUREZZA
Lanalisi del rischio il processo che apre la strada a quello di una pianificazione pi attiva
delle misure di sicurezza, che ne preveda lorganizzazione attraverso controlli continui e lo
sviluppo dei criteri (o policy) di protezione da adottare. Anche la soluzione di sicurezza
tecnologicamente pi avanzata , infatti, destinata a fallire se non coadiuvata da regole
implementate sulla base della specifica realt e, quindi, tali da soddisfare gli obiettivi aziendali
e i requisiti di applicabilit e idoneit. Stabilire una politica di sicurezza significa prevedere
tutte le possibili violazioni alla sicurezza e il modo per proteggersi da esse, formalizzandole
anche in un documento. Rendere disponibile un riferimento scritto e unificato allinterno di un
impresa un modo per testimoniare il consenso relativo alla sicurezza interno allazienda e per
fornire una guida per la realizzazione delle pratiche corrette, evidenziando, nel contempo, le
specifiche responsabilit per ogni compito di protezione. Le policy di sicurezza riguardano
questioni quali limpostazione del livello di sicurezza relativo ai singoli apparati e alle
soluzioni informatiche, la gestione del rischio di perdite finanziarie associato a intrusioni e le
modalit comportamentali degli impiegati. Esse richiedono un aggiornamento continuo per la
continua evoluzione tecnologica e laffacciarsi di nuove vulnerabilit e devono trarre
esperienza dagli avvenimenti occorsi. Questo perch, di fatto, ogni soluzione di sicurezza un
processo in continua evoluzione costituito da esperienze, competenze e regole che coinvolgono
persone, processi e tecnologie.
Come ogni processo, quindi, una soluzione di sicurezza richiede non solo di essere progettata e
implementata, ma anche di essere gestita e continuamente analizzata per verificare le costante
rispondenza agli obiettivi di business aziendali e alle esigenze del mercato.
Lintroduzione di policy allinterno dellazienda va, quindi, considerata unattivit ciclica, che
parte da una fase di assessment, in base alla quale progettare e costruire le policy. Segue poi
una fase di implementazione e distribuzione, che richiede successivamente unattivit di
gestione e supporto. La fase di gestione deve prevedere un continuo aggiornamento, basato
sulla verifica di ogni nuova attivit o risorsa che possa modificare lassessment iniziale, su cui
sono state realizzate le policy stesse. Per esempio, lintroduzione allinterno del sistema
informativo di una sottorete wireless, deve indurre a rivedere il ciclo di sicurezza legato alle
policy.

40

La gestione della sicurezza

CAPITOLO 3

Analisi e progettazione delle policy


Le istruzioni specificate dalle policy possono essere di tipo generale, oppure suddivise per
tipologia di risorse aziendali o per aree di responsabilit. In ogni caso la progettazione di una
policy deve recepire le indicazioni provenienti dallanalisi del rischio in merito alle risorse da
considerare importanti e deve definire opportunamente gli step da seguire per la loro
protezione. La messa a punto di una policy aziendale deve essere fatta in modo da favorire il
suo effettivo utilizzo, evitando di trasformarsi in un documento formale per clienti o revisori,
ma di nessuna utilit pratica. Spesso questo aspetto legato alla presenza,in molte realt
aziendali, di criteri poco significativi, che restano troppo generici e non danno indicazioni
precise sulle azioni da intraprendere.
Per superare questi inconvenienti un criterio aziendale dovrebbe rispondere a requisiti di
flessibilit, chiarezza negli obiettivi, applicabilit. Inoltre i criteri per la sicurezza dovrebbero
essere introdotti in modo da evidenziare il sostegno incondizionato da parte della direzione
dellazienda e coinvolgere, per quanto possibile, i diretti interessati.

Implementare le policy
Se non correttamente organizzato, paradossalmente, un criterio di sicurezza pu determinare
una riduzione del livello di protezione. Non infrequente che policy troppo restrittive finiscano
con lessere ignorate perch ostacolano lattivit lavorativa. Per esempio, lutilizzo di password
troppo lunghe o complesse e, pertanto, difficili da ricordare, pu indurre gli impiegati a
scriverle e lasciarle pi facilmente in balia di possibili malintenzionati.

41

La gestione della sicurezza

CAPITOLO 3

Per essere efficace un criterio di sicurezza deve essere diffuso e applicato; ci si deve assicurare
che tutti gli impiegati conoscano le relative policy di sicurezza e che ne possano disporre
prontamente e in qualunque momento e va garantita la pronta comunicazione di ogni loro
eventuale cambiamento. Per la diffusione efficace di ogni criterio opportuno mettere a punto
un insieme di regole scritte, che definiscono le responsabilit relativamente a chi progetta le
policy, chi le garantisce, le implementa e la fa rispettare e le relative conseguenze a seguito di
eventuali violazioni. Infine, buona pratica coinvolgere gli utenti influenzati dalle policy di
sicurezza nel loro processo di sviluppo o almeno di revisione.

Le aree interessate
Per ogni area del sistema informativo o dei processi aziendali possibile definire dei criteri
specifici. Nel seguito sono descritte alcune tipologie di criteri di protezione:
Criteri per le password. Vanno configurati in base alle specifiche esigenze aziendali
prevedendo in modo opportuno la loro sostituzione periodica. Per le password
possibile, per esempio, richiedere una lunghezza minima o assegnargli un tempo
minimo e massimo di validit. Lamministratore deve farsi carico della sicurezza legata
alla generazione e assegnazione della password iniziale di ogni utente. Lutente, a sua
volta, deve assumersi la responsabilit di mantenere la riservatezza della password
assegnatagli e di segnalare ogni eventuale modifica del proprio stato di utente.
Criteri per la posta elettronica. Data limportanza delle mail per la normale conduzione
del lavoro, essenziale predisporre a riguardo opportuni criteri. Questi devono essere
rivolti a unadeguata e sicura configurazione dei programmi di posta elettronica, ma
anche a un corretto utilizzo di questa risorsa, per ridurre eventuali rischi di carattere
intenzionale o involontario e per assicurare la corretta gestione delle registrazioni
ufficiali. Alcuni esempi che si possono evidenziare riguardano la manutenzione
periodica delle proprie cartelle di posta e la gestione e archiviazione dei messaggi, che
altrimenti possono crescere fino ad arrivare a bloccare il sistema di posta. O ancora un
uso a scopo privato della posta, che espone lazienda a rischi non necessari.
Criteri per Internet. Dal lato browser possibile configurare varie impostazioni a
garanzia della sicurezza (esecuzione script, cookies, accettazione di aggiornamenti non
certificati e cos via). I server Web prevedono diverse aree da proteggere, che vanno dal
sistema operativo sottostante, al software del server Web, agli script del server.

42

La gestione della sicurezza

CAPITOLO 3

Opportune regole vanno predisposte a livello firewall, per una configurazione


appropriata dei router del protocollo IP, cos da evitare attacchi DoS.
Criteri di protezione IP. I criteri di protezione relativi allIP possono riguardare gli
indirizzi IP da esaminare, limpostazione di opportuni filtri per analizzare il traffico o le
modalit di cifratura dei pacchetti.
Criteri per il backup e il ripristino. Il backup va organizzato pianificando interventi a
intervalli regolari, stabilendo la priorit dei dati da duplicare, il tipo di backup (normale,
differenziale e cos via ) e di supporto da utilizzare e prevedendo larchiviazione, sia
allinterno delledificio aziendale sia fuori sede. Vanno considerate policy per la
realizzazione di procedure di ripristino veloci, in grado di riportare i sistemi e/o le
applicazioni alla loro piena funzionalit.
Altri criteri possono riguardare laccounting e le condizioni per un eventuale suo blocco, le
regole di configurazione degli apparati hardware e quelle comportamentali da parte degli
utenti.

Un piano di emergenza sempre pronto


Per quanto ben realizzata una soluzione di sicurezza non pu essere mai considerata sicura
al 100%. Va, perci, sempre presa in considerazione la possibilit di violazione e prevista
in relazione ai possibili livelli di danno, una serie di provvedimenti di emergenza da
intraprendere, con lobiettivo di ristabilire, nel pi breve tempo possibile, la normale
operativit o quella a essa pi vicina.
Un piano di emergenza deve predisporre metodi e contromisure alternative per garantire la
disponibilit, lintegrit, la riservatezza dei dati e mantenere operativa lorganizzazione,
nelleventualit che un attacco superi le misure e i controlli di protezione. Il piano deve
indicare le contromisure da adottare, fino a prevederne anche di tipo radicale quali il
trasferimento della produzione in un altro sito.
Come tutti i piani di emergenza andrebbe provato e verificato, preferibilmente da una
persona diversa da quella che lo ha realizzato. Questo anche in considerazione del fatto che,
in materia di sicurezza, pienamente applicabile una variante della nota legge di
Murphy:Se si prevedono quattro possibili modi in cui qualcosa pu andare male e si
prevengono, immediatamente se ne riveler un quinto.

43

La gestione della sicurezza

CAPITOLO 3

IL COSTO DEL MANCATO INVESTIMENTO IN SICUREZZA


Dato per assodato che la sicurezza assoluta non esiste, una corretta strategia per lenterprise
security prevede un processo ciclico che alterna: vulnerability assessment, analisi del rischio,
definizione di un piano di contenimento del rischio realizzazione di tale piano. Le tecnologie
che andranno implementate sono di volta in volta dipendenti dalle condizioni al contorno, oltre
che dalle esigenze delle specifiche imprese.
Il problema tipicamente fare i conti con il budget a disposizione, che troppo spesso risulta
insufficiente a realizzare il sistema di sicurezza idealmente definito dal piano. Eppure, Gartner
sostiene che le spese per la sicurezza, a livello mondiale, stanno crescendo a un ritmo medio
(CAGR) del 28%, rispetto a un budget IT nel suo complesso sostanzialmente piatto: una
situazione insostenibile destinata a esplodere gi nei prossimi anni. Gi oggi, come per tutti i
comparti di spesa aziendale, diventata rigida la richiesta di una misura del ROI per qualsiasi
investimento. Ma se difficile calcolare il ritorno di un investimento infrastrutturale, qual
tipicamente quello in Information e Communication Technology, come possibile quantificare
il valore di una soluzione di sicurezza, quando, se tutto va bene, non succede niente?
La risposta in realt banale nella forma, un po meno nella pratica. Chiaramente il problema
se lo sono gi posto i vendor del settore che da sempre hanno trovato le loro difficolt a
vendere i sistemi di protezione contro qualcosa di impalpabile come le minacce Internet. Come
si accennava precedentemente, il valore di un sistema di sicurezza deve essere correlato al
livello di rischio accettabile per unimpresa. Dove per rischio sintende il danno economico che
si avrebbe in caso di un attacco andato a buon fine, di un disservizio totale o parziale e cos via.
Il primo passo da compiere per il calcolo del ROI coincide con quello che necessario per
definire che sistema di sicurezza implementare: effettuare unanalisi delle vulnerabilit cui
esposta lazienda e del livello di rischio relativo.
Non si tratta di unoperazione banale, tanto che codificata in precisi standard ISO, meglio
noti con la sigla BS7799. Per effettuare tale operazione bene affidarsi a una societ
indipendente, ovviamente dotata delle opportune certificazioni, poich non di rado in questa
fase si fanno vere e proprie scoperte: per esempio, applicazioni o servizi ritenuti poco
importanti, se confrontati con limpatto reale sul business, possono risultare molto pi critici di
quanto pensato fino a quel momento. Condotta con tutti i crismi, tale analisi produce una
documentazione oggettiva che, ricordando che questa fase deve essere ciclicamente ripercorsa,
sar molto utile per valutazioni successive.

44

La gestione della sicurezza

CAPITOLO 3

Per valutare il rischio correttamente, quindi correlando alle dinamiche e logiche di business,
necessario coinvolgere il management aziendale a vari livelli. Questo il principale vantaggio
di tutta loperazione, nonch la vera chiave di volta per il calcolo del ROI. Infatti, costretti a
riflettere sulle ripercussioni di un attacco informatico, i manager svilupperanno quella
sensibilit versoi temi della sicurezza che per anni stata il cruccio degli addetti ai lavori.
Il risk assessment, inoltre, produce un numero, cio il valore del danno che si potrebbe creare
in funzione del grado di vulnerabilit reale determinato dallattuale sistema di sicurezza. Un
dato facilmente comprensibile anche dal consiglio di amministrazione, tanto pi quando
certificato da una societ indipendente.

Una volta stabilito quale deve essere il piano di contenimento del rischio, quindi quali misure
devono essere implementate per ridurre le vulnerabilit e aumentare il grado di protezione,
necessario realizzare un security plan dettagliato. Questo deve considerare levoluzione nel
tempo e conteggiare il TCO (Total Cost of Ownership) di tutte le soluzioni. importante
osservare che in molti casi il prezzo di acquisto di un prodotto solo il primo elemento di
spesa: in ambito sicurezza, non vanno trascurati i costi dei servizi di aggiornamento, senza i
quali le soluzioni diventano presto (praticamente immediatamente) obsolete e inutili.
Un piano della sicurezza ben dettagliato utile per confrontarlo con un modello del rischio.
Mettendo in una sorta di matrice la spesa necessaria per tappare una potenziale falla e il
rischio economico che la falla lasciata aperta potrebbe causare (eventualmente ipotizzando
pi eventi correlati a tale vulnerabilit trascurata), si ottiene uno strumento di immediato
raffronto. Allatto pratico, una soluzione di sicurezza deve raggiungere almeno uno dei
45

La gestione della sicurezza

CAPITOLO 3

seguenti obiettivi per poter dimostrare di avere un ROI sostenibile: ridurrei costi
correnti,ridurre i costi futuri, ridurre il rischio finanziario, aumentare la produttivit, aumentare
il fatturato.
Molto spesso ci sono benefici intangibili che difficile calcolare, ma bene non esagerare nel
cercare di aumentare il valore del sistema di sicurezza al solo fine di convincere il management
a investire. Anche perch importanti argomenti sono stati forniti dal Testo Unico sulla privacy,
che, unitamente alle precedenti disposizioni legislative, sta imponendo ladozione di misure
minime, spingendo molte aziende a effettuare analisi di vulnerability assessment con ottimi
risultati di sensibilizzazione.

46

Capitolo 4

LA CRITTOGRAFIA
La crittografia la scienza che si occupa di studiare e mettere a punto una serie di strumenti
che hanno lo scopo di mantenere la segretezza di dati che non si intende diffondere
pubblicamente, impedendo la loro divulgazione al di fuori di una schiera ristretta di persone.
La crittografia rappresenta uno strumento efficace per proteggere i messaggi scambiati durante
una comunicazione, sia per evitare possibili intercettazioni da parte di un intruso(minacce
passive) sia per proteggere i dati da possibili modifiche (minacce attive). Da un punto di vista
del business le funzioni di sicurezza garantite dalla crittografia riguardano i seguenti temi:
Autenticazione, che assicura che il mittente e il destinatario di un messaggio siano
quelli che affermano di essere;
Confidenzialit, che fa in modo che le informazioni siano accessibili solo da chi
preposto a farlo;
Integrit, garantendo la non alterazione delle informazioni da parte di persone non
autorizzate;
Non ripudiabilit, impedendo a utenti di negare la paternit delle informazioni
trasmesse;
Identit, verificando lassociazione tra uno specifico individuo e una risorsa o
uninformazione;
Autorizzazione, che definisce i privilegi e le azioni permesse rispetto a una specifica
risorsa.
Loperazione che permette di celare le informazioni viene detta cifratura o crittazione e la sua
operazione inversa decifrazione, mentre si distingue tra testo in chiaro (plain text) e cifrato
(ciphertext) per descrivere la condizione dei dati durante le due fasi crittografiche.
Le tecniche di crittografia delle informazioni utilizzano sofisticati algoritmi di tipo matematico
per rendere incomprensibili i dati a un utente non autorizzato e fornire nel contempo, a chi
autorizzato a farlo, la possibilit di ricostruire le informazioni in un formato comprensibile
riconvertendo il testo cifrato in testo in chiaro. Lo strumento alla base del processo di
cifratura/decifrazione delle informazioni detto chiave.

La crittografia

CAPITOLO 4

I pi antichi sistemi di cifratura si basavano sulla trasposizione delle lettere dellalfabeto. Gi


gli imperatori romani utilizzavano per i messaggi il metodo Cesareo, che sostituiva ogni lettera
con quella successiva: in questo modo ROMA diventava SPNB. Una versione pi evoluta di
questi sistemi prevedeva anche una regola di sostituzione.
La crittografia moderna si basa ancora sui sistemi di sostituzione e trasposizione, ma la
sicurezza non pi affidata alla segretezza dellalgoritmo di cifratura (i sistemi di crittografia
moderni sono, infatti, rilasciati con i codici sorgenti), ma a quella di una chiave esterna.

In questo lavoro di tesi eviter di parlare dei vari protocolli crittografici andando direttamente
a trattare la parte che si ritrover poi nel progetto affrontato.

PKI: LINFRASTRUTTURA DI SICUREZZA A CHIAVE PUBBLICA

La PKI (Public Key Infrastructure) non va intesa come uninfrastruttura fisica, ma piuttosto
come un insieme di funzionalit rese possibili da una serie di servizi concorrenti. Si appoggia
alla tecnica di crittografia asimmetrica per garantire la sicurezza e la privacy di operazioni di
business ed e-commerce.
Una PKI fornisce i servizi per pubblicare le chiavi, gestirle e utilizzarle, mettendo a
disposizione degli sviluppatori una serie di funzioni che possono essere implementate per
costruire applicazioni sicure.
Uno degli elementi principali che contribuiscono alla realizzazione di una PKI rappresentato
dagli enti certificatori.

La Certification Authority (CA)


Le chiavi pubbliche sono continuamente esposte al rischio di possibile manomissione. Per
questa ragione la validit del servizio di firma digitale garantita dalla presenza di un ente
certificatore (Certification Authority o CA), che garantisce la corrispondenza tra la chiave
pubblica e lidentit anagrafica e che, nel caso di possibile trafugamento della chiave privata,
provvede a revocare la chiave pubblica.
Questa azione di garanzia viene effettuata attraverso il rilascio di certificati digitali, una sorta
di referenza pubblicata a conferma dellaffidabilit di un utente.
Un certificato digitale non altro che un insieme di dati che contengono la chiave pubblica
dellutente e un set di attributi (quali, per esempio, il nome del depositario della chiave).
48

La crittografia

CAPITOLO 4

Il certificato viene firmato in modo digitale dallentit che lo ha emesso. Questa firma ha il
significato di garantire lautenticit e la correttezza dellattribuzione della chiave pubblica di
quello specifico utente. Tipicamente nelle applicazioni di e-commerce un potenziale cliente
deve prima ottenere un certificato da una CA a garanzia della propria identit in rete.
Lattendibilit di un certificato dipende dallaffidabilit della CA che lo ha emesso.
Una CA pu essere pubblica o privata. Nel primo caso si ha a che fare con unorganizzazione
che opera come CA di s stessa, rilasciando il proprio certificato. Una CA pubblica,
invece,offre il servizio sia agli utenti finali (certificati legati a browser o e mail), sia alle societ
che decidono di affidare in outsourcing la loro attivit di PKI.
Esiste una gerarchia tra le CA in base alla quale ogni CA si fa certificare da una CA di livello
superiore, fino ad arrivare alla CA al top, detta Root Certificate Authority, la quale, nella sua
certificazione, dichiara semplicemente di essere la root.
Ogni CA ha la facolt di decidere quali attributi includere nei propri certificati e i meccanismi
da utilizzare per verificare questi attributi. Lemettitore dei certificati provvede anche a
mantenere e firmare le Certification Revocation List (CRL) che contengono i certificati che
vengono revocati. Un certificato viene revocato nel caso in cui la chiave privata del
proprietario del certificato sia stata compromessa o nel caso in cui questo non sia pi associato
con chi emette il certificato.

49

La crittografia

CAPITOLO 4

Tra gli standard associati alla crittografia a chiave pubblica che determinano un certo grado di
interoperabilit tra le soluzioni, lo standard di riferimento rappresentato dallITU T X.509,
che definisce le specifiche per il formato dei certificati digitali.
LX.509 fornisce un riferimento standard per la definizione del formato e del contenuto di un
certificato abilitando, in tal modo, il possibile scambio di certificati tra vendor. La struttura di
un certificato X.509 definisce caratteristiche quali versione, numero di serie, algoritmo di
firma, entit emettitrice e validit e provvede anche a definire la struttura delle liste di revoca
CRL.

I token di sicurezza
Un token di sicurezza un piccolo dispositivo di sicurezza trasportabile (di fatto un generatore
di password) che permette lautenticazione di un utente ai servizi di rete.
Si basa su unautenticazione a due fattori, in cui lutente dispone di un codice di identificazione
(PIN) che lo abilita allutilizzo di quel particolare dispositivo. Il dispositivo genera, a sua volta,
un codice che identifica in modo univoco quellutente come possessore di quel dispositivo
particolare e lo abilita al servizio richiesto.

Esempio di Token
hardware di sicurezza

In senso pi esteso i token possono essere anche una soluzione software di autenticazione
basata sulla generazione casuale di password utilizzabili una volta sola. Come soluzione di
autenticazione alternativa rispetto allutilizzo dei certificati di una PKI, non ha per incontrato
vasta diffusione, poich lautenticazione con questo tipo di software manifesta, infatti, alcuni
limiti in termini di maneggevolezza e supporto delle applicazioni.
Un particolare token di sicurezza di tipo hardware la smart card, un dispositivo della
dimensione di una carta di credito con diverse capacit, basato su una tecnologia pi evoluta
rispetto alle tradizionali carte a banda magnetica.

50

La crittografia

CAPITOLO 4

In particolare le carte a circuito integrato, indicate con lacronimo ICC (Integrated Circuit
Card), sono quelle che hanno maggiore importanza allinterno delle tematiche della sicurezza
poich sono in grado di eseguire operazioni quali la firma e lo scambio di chiavi. Queste smart
card sono dispositivi hardware che supportano CPU, memoria RAM, sistema operativo ed
EPROM.

I certificati digitali utilizzati in un contesto di autenticazione PKI sono solitamente memorizzati


allinterno dei browser o sul disco locale dellutente. Pertanto il fatto di poterli utilizzare da
punti distribuiti di accesso alla rete rappresenta un compito non banale che richiede, in qualche
modo, un sistema per il loro trasporto o, in alternativa, poter scaricare sulla macchina in uso al
momento, certificati e chiavi private da un database centrale sicuro. Le smart card sono utili in
questo ambito poich sono in grado di fornire un valido strumento per funzioni di
memorizzazione di certificati digitali, chiavi private e di ogni informazione suscettibile di
autenticazione, anche se la loro diffusione in Italia, in questo contesto, ancora agli inizi.

Lintegrazione tra crittografia e analisi dinamica dei comportamenti


La crittografia, da sola, non in grado di risolverei problemi di sicurezza dei dati. La tipologia
di protezione che offre , infatti, di tipo statico e non in grado di modificare il tipo di
protezione offerta in funzione dellesperienza acquisita. In altre parole, una volta superata la
protezione cifrata, il successivo tentativo di intrusione non incontrer pi ostacoli.
Va anche ricordato che la sicurezza di un sistema crittografico non assoluta e varia nel tempo,
perch dipende strettamente dalla capacit e dalle prestazioni dei computer disponibili e dagli
sviluppi delle tecniche di criptoanalisi. Pertanto le soluzioni di sicurezza crittografiche vanno
riviste periodicamente nel tempo, per garantire che il livello di protezione si mantenga costante

51

La crittografia

CAPITOLO 4

e adeguato. Inoltre questo sistema si affida alla necessaria protezione fisica di altre risorse
quali, per esempio, la manutenzione delle chiavi private master.
Partendo dal presupposto che il livello di protezione di una qualsiasi soluzione corrisponde alla
sicurezza del punto pi debole dellintero sistema possibile raggiungere un livello di
sicurezza superiore con lintegrazione di un sistema di tipo attivo. Un sistema di protezione
attivo gestisce laccesso alle risorse in funzione dello storico dei tentativi di accesso precedenti,
sulla base di una serie di regole di comportamento impostate dallutente.
Lesempio pi classico in tal senso quello del blocco della possibilit di accesso dopo un
certo numero di tentativi erronei di immissione di dati o password, oppure il blocco sul router
dei pacchetti provenienti da ununica fonte, quando questi superano un numero prefissato. A
sua volta lutilizzo di un sistema di analisi del comportamento non inibisce luso non
autorizzato delle risorse, come fa, invece, la crittografia e pu, invece, impedire accessi
legittimi, dovendo prevedere opportuni meccanismi di sblocco. Anche in questo caso il livello
di protezione offerto varia con il tempo, essendo tuttavia pi legato allevoluzione delle
modalit di attacco piuttosto che delle prestazioni dei sistemi informatici.

52

Capitolo 5

LAUTENTICAZIONE E LIDENTITY MANAGEMENT


Le 3 A
pratica consueta riferirsi allinsieme delle tecniche di autenticazione, autorizzazione e
accounting come alle 3A. Il motivo di questo accostamento non risiede semplicemente nella
condivisione della lettera iniziale, nonostante il forte gusto statunitense per questo tipo di
giochi di parole, ma piuttosto nel ruolo coordinato e sinergico che questi tre aspetti della
sicurezza IT rivestono allinterno del processo di protezione dei dati e dei servizi aziendali.
Questi concetti riassumono le procedure e le funzioni necessarie per lo svolgimento di molti
dei processi di sicurezza che avvengono sul Web. In un contesto di accesso geograficamente
distribuito alle risorse informatiche indispensabile, infatti, trovare dei metodi e delle regole in
grado di garantire e proteggere il corretto svolgimento delle operazioni tra le parti che
scambiano informazioni.
Le 3A sovrintendono proprio a questo tipo di funzioni. Pi in particolare lautenticazione il
processo per garantire in modo univoco lidentit di chi si appresta ad accedere alle risorse,
lautorizzazione definisce i privilegi di cui dispone questo utente, mentre laccounting si
riferisce allanalisi e alla registrazione sistematica delle transazioni associate a unattivit di
business sul Web. La sicurezza di questi processi viene assicurata da una serie di tecnologie e
procedure che si appoggiano su protocolli e standard e che costituiscono largomento di questo
capitolo.

Implementare un sistema di autenticazione


I trend che alimentano il mercato delle tecnologie di autenticazione sono molteplici.
Innanzitutto va consideratala continua espansione dellaccessibilit alle informazioni, legata
alle nuove categorie di lavoratori mobili e da remoto nonch alla progressiva apertura del
network delle grandi aziende verso partner e clienti. Inoltre cresce il numero di informazioni
critiche e, conseguentemente, delle misure necessarie per controllare il loro accesso. A questi
va aggiunta quella che si potrebbe definire come la crisi delle password ormai
definitivamente abbandonate da tutti i principali fornitori di tecnologie in cerca di soluzioni pi
affidabili e meglio gestibili.

Autenticazione e Identity Management

CAPITOLO 5

A controbilanciare questi argomenti concorrono aspetti quali i lunghi tempi di


implementazione (trattandosi spesso di soluzioni che coinvolgono un grandissimo numero di
utenti), i costi associati alla realizzazione di infrastrutture dedicate, ma anche la giustificazione
dellinvestimento rispetto ad altri ambiti tecnologici e di business,in un momento in cui i
budget scarseggiano.
Resta in ogni caso il dilemma della scelta del sistema e della tecnologia da adottare tra i molti
possibili e disponibili sul mercato, che variano dalladozione di certificati digitali, alle smart
card, ai token di vario tipo, alle credenziali virtuali o alle password, fino ad arrivare ai sistemi
biometrici.
La risposta a questesigenza risiede nella valutazione di una serie di motivazioni che devono
tenere in considerazione gli aspetti specifici di ogni azienda e dei suoi processi di business.
Come sempre non esistono ricette uniche ma, di seguito, cercheremo di fornire alcuni spunti
metodologici per orientarsi meglio in questo processo decisionale.
Il primo e fondamentale punto quello di riconoscere che lindividuazione di una soluzione di
autenticazione rappresenta un compromesso tra costi, sicurezza e praticit duso e che,
pertanto, ogni decisione in merito dovrebbe essere presa come risultato di unanalisi di questi
tre aspetti.
La cosa complicata dal fatto che si tratta di parametri generalmente antagonisti fra loro:
incrementare il livello di sicurezza determina costi proporzionalmente crescenti e una riduzione
della flessibilit e semplicit duso perch richiede ladozione di strumenti,procedure e
tecnologie.
Un approccio metodologico dovrebbe partire da una metricizzazione di tali aspetti,
inizialmente da un punto di vista qualitativo delle implicazioni e, se possibile, successivamente
anche di tipo quantitativo. Per esempio possibile individuare tutti gli aspetti significativi e
correlarli attribuendo loro un indice numerico.
Anche se a qualcuno potrebbe sembrare un esercizio un po accademico, ladozione di una
metodologia di questo tipo (o di altro analogo) permette di chiarirsi le idee su domande di
difficile risposta quali: di quanta sicurezza ho effettivamente bisogno?
Non da ultimo, permette di facilitare la comprensione di determinate scelte tecnologiche anche
da parte di chi mastica pi il linguaggio del budget che quello tecnologico. Affrontare laspetto
dei costi significa, ovviamente, considerare il Total Cost of Ownership della soluzione, che
comprende non solo i costi di acquisizione, ma anche e soprattutto quelli di deployment e
operativi, che vanno associati alle tecnologie, al personale, ai processi e alla struttura.
54

Autenticazione e Identity Management

CAPITOLO 5

Eseguire unanalisi degli aspetti di sicurezza e praticit , invece,il risultato di una valutazione
strategica difficilmente ingabbiabile in regole. Tuttavia possibile almeno separare gli aspetti
legati al valore di una soluzione di autenticazione rispetto agli utenti e allazienda.
La praticit e la semplicit duso, per esempio, dipendono, in generale, dalla tipologia di utenti
che si stanno considerando e cambiano a secondo che si tratti di partner, dipendenti o clienti.
Accanto alla complessit di apprendimento va considerata anche la praticit di utilizzo,che pu
inibire il suo impiego.
Anche gli aspetti legati alla trasportabilit della soluzione di autenticazione (indice importante
della sua flessibilit) possono essere sensibilmente differenti in funzione della tipologia di
utente e sono spesso legati a doppio filo con i costi. Per esempio, ladozione di soluzioni che
richiedono la presenza di un software sul lato client possono limitare laccessibilit da aree
esterne quali le filiali aziendali, un hotel o un chiosco pubblico. Un altro esempio pu essere
quello di soluzioni di autenticazione che sfruttano dispositivi mobili e che possono essere
condizionate dallarea di copertura del servizio. Un ulteriore valore per lutente pu essere la
versatilit. A volte il sistema di autenticazione pu essere costituito da un dispositivo specifico,
ma in altri casi pu combinare in un unico dispositivo una pluralit di funzioni: sistema di
autenticazione, documento di identit dotato di foto, strumento di memorizzazione di dati e
cos via.
Dal punto di vista della valenza strategica per lazienda lelemento primario da considerare la
sicurezza relativa, che deve tenere conto del livello di protezione offerto dal sistema di
autenticazione , della sicurezza della sua implementazione, dalladeguatezza a proteggere la
tipologia di informazioni per cui lo si vuole utilizzare e anche della garanzia di compatibilit
con la normativa.
A ci va aggiunta la possibilit di integrazione allinterno dellinfrastruttura esistente e
linteroperabilit coni sistemi di back end.
In una valutazione non va, infine, trascurata la possibilit di lasciarsi aperte opzioni per le
future evoluzioni tecnologiche. Un esempio in tal senso pu essere quello dei certificati
digitali, che rappresentano una soluzione utilizzabile inizialmente come sistema di
autenticazione e che potrebbe essere adottata in futuro per la cifratura e per la firma digitale.
Oppure di un sistema per lautenticazione interna in grado di pubblicare asserzioni di identit
che potrebbero essere utilizzate in seguito al di fuori dellazienda.

55

Autenticazione e Identity Management

CAPITOLO 5

I PRINCIPALI PROTOCOLLI DI AUTENTICAZIONE

Il protocollo SSL (Secure Socket Layer)


SSL uno standard sviluppato specificatamente per la sicurezza su Internet. Ha subito nel
tempo diversi aggiornamenti e ultimamente si avuto il rilascio di una versione riferita con il
nome di TSL (acronimo di Transaction Security Layer) ma anche con il nome di SSL versione
3.1 e pubblicata dallIETF. stata universalmente accettata nel mondo Web per le funzioni di
autenticazione e di cifratura delle sessioni.
Come protocollo si posiziona sopra il TCP/IP e fornisce i servizi di encryption, autenticazione
di server e client e autenticazione dei messaggi alle applicazioni soprastanti. Presenta la tipica
struttura di un protocollo a livelli costituito da due layer principali, rispettivamente riferiti
come

lHandshake

Protocol

il

Record

Protocol.

Questultimo

responsabile

dellincapsulamento delle informazioni ricevute dai protocolli di pi alto livello, mentre il


protocollo di Handshake, che utilizza i messaggi definiti dal Record Protocol, ha il compito di
creare la comunicazione tra il cliente il server.

La realizzazione della connessione avviene mediante una reciproca autenticazione da parte del
client e del server e tramite la negoziazione dellalgoritmo di cifratura da utilizzare e delle
chiavi di cifratura.
SSL prevede il supporto di un ampio numero di metodi di cifratura:
Crittografia simmetrica, come il DES o il triplo DES (3DES);
crittografia pubblica, come RSA, DSS, KEA, utilizzata per autenticare lidentit del
corrispondente. La chiave pubblica viene usata anche per determinare la chiave
simmetrica che client e server useranno durante la sessione SSL.
56

Autenticazione e Identity Management

CAPITOLO 5

Pur essendo un protocollo nato per Internet, in s non ristretto allambiente IP e pu essere
utilizzato anche in abbinamento ad altri protocolli di rete. Quando riceve dai livelli superiori i
dati da trasmettere, li frammenta in blocchi, li comprime (se prevista e concordata la
funzione), applica al risultato un campo MAC (Message Authentication Code), cifra il tutto e
trasmette il risultato. Sui dati ricevuti viene effettuato il procedimento inverso. I dati sono
decifrati, verificati, eventualmente decompressi, riassemblati e passati al livello superiore.
Oltre ai due protocolli principali citati comprende altri elementi quali lSSL Change Cipher
Spec Protocol e SSL Alert Protocol. Il protocollo di Handshake e questi ultimi due hanno il
compito di realizzare e gestire il setup della sessione e dei parametri di sicurezza. Le
connessioni realizzate tra client e server sono associate a ununica sessione, ma ogni sessione
pu includere connessioni diverse.
Lo stato di una connessione definisce i parametri MAC, mentre lo stato della sessione definisce
un set di parametri di crittografia. Il protocollo di SSL Handshake, riferito anche come key
exchange protocol, ha la funzione di stabilire una connessione sicura tra le due parti
interessate alla sessione.
Le fasi realizzate dal protocollo sono riassumibili in:
autenticazione di server e Client ( opzionale);
negoziazione dellalgoritmo di cifratura da utilizzare;
utilizzo di una chiave pubblica per lo scambio dei parametri di cifratura.

57

Autenticazione e Identity Management

CAPITOLO 5

Con riferimento alla figura, vediamo brevemente la funzione dei principali messaggi utilizzati
dal protocollo:
Client_hello: inviato dal client per iniziare la sessione. Include al suo interno
informazioni sul numero della versione SSL, un identificatore della sessione,
informazioni sugli algoritmi di cifratura disponibili, un elenco degli algoritmi di
compressione supportati.
Server_hello: il messaggio di risposta del server. Include i parametri visti per il client.
Il server verifica che lidentificatore della sessione proposto dal client sia disponibile e,
in caso contrario, ne propone uno alternativo tramite unulteriore fase di handshake. Il
server sceglie poi un algoritmo per lo scambio delle chiavi di cifratura e le relative
modalit nonch il metodo di compressione tra quelli proposti dal client.
Server_certificate: inviato dal server per autenticarsi nei confronti del client.
Certificate_request: inviato dal server quando vuole richiedere lautenticazione da
parte del client.
Server_hello_done: viene inviato dal server per indicare che il server ha terminato
quanto di sua competenza e cio linvio dei dati per la crittografia dei dati e i parametri
di identificazione
Client_certificate: inviato dal client se il server ha richiesto al client la sua
certificazione.
Finished: un messaggio inviato per indicare che la fase di set up si conclusa
positivamente.
A questo punto il protocollo di SSL Handshake completa i suoi compiti e sul canale privato e
sicuro che si stabilito possono essere trasferiti i dati delle applicazioni.

RADIUS
RADIUS (Remote Authentication Dial-In User Service) un protocollo definito dallIETF per
amministrare e rendere sicuro laccesso remoto a una rete.
Il server software RADIUS include tre componenti:
Un server di autenticazione,
Protocolli per il client,
Un server di accounting.
Queste componenti possono girare su ununica macchina oppure su dispositivi separati dotati
di differenti sistemi operativi.
58

Autenticazione e Identity Management

CAPITOLO 5

Lintero processo di funzionamento ha inizio quando un client crea un pacchetto RADIUS


Access-Request, includendo almeno gli attributi User-Name e User-Password, e generando il
contenuto del campo identificatore. Il processo di generazione del campo identificatore non
specificato nel protocollo RADIUS, ma solitamente implementato come un semplice
contatore incrementato ad ogni richiesta.
Il campo authenticator contiene una Request-Authenticator, ovvero una stringa di 16 byte
scelta in modo casuale. L'intero pacchetto trasmesso in chiaro, a parte per lattributo UserPassword, che protetto nel modo seguente: il client e il server condividono una chiave
segreta. Tale chiave viene unita con la Request Authenticator, e l'intera stringa viene sottoposta
a una funzione hash MD5 per la creazione di un valore di 16 ottetti, sottoposto a sua volta a un
XOR con la password immessa dallutente (e se tale password pi lunga di 16 ottetti, vi un
calcolo MD5 addizionale, utilizzando il testo cifrato anzich la Request Authenticator).
Il server riceve il pacchetto Access-Request e verifica di possedere la chiave segreta per il
client. In caso negativo, il pacchetto viene silenziosamente ignorato. Poich anche il server in
possesso del segreto condiviso, possibile utilizzare una versione modificata del processo di
protezione del client per ottenere la password in chiaro. Quindi il server consulta il database
per convalidare username e password; se la password valida, il server crea un pacchetto
Access-Accept da rimandare al client. In caso contrario, crea un pacchetto Access-Reject e lo
invia al client.
Entrambi i pacchetti Access-Accept e Access-Reject utilizzano lo stesso valore identificatore
del pacchetto Access-Request del client, e hanno una Response Authenticator nel campo
Authenticator. La Response Authenticator la funzione hash MD5 del pacchetto di risposta
con lassociata Request Authenticator, concatenata con il segreto condiviso.
Quando il client riceve un pacchetto di risposta, si accerta che esso combaci con una
precedente richiesta utilizzando il campo identificatore. Se non esiste alcuna richiesta con lo
stesso identificatore, la risposta silenziosamente ignorata. Quindi il client verifica la
Response Authenticator utilizzando lo stesso calcolo effettuato dal server, ed infine
comparando il risultato con il campo Authenticator. Se la Response Authenticator non
coincide, il pacchetto silenziosamente ignorato.
Se il client riceve un pacchetto Access-Accept verificato, username e password sono
considerati corretti, e lutente autenticato. Se invece riceve un pacchetto Access-Reject
verificato, username e password sono scorretti, e di conseguenza lutente non autenticato.

59

Autenticazione e Identity Management

CAPITOLO 5

Utilizzo di RADIUS
RADIUS un protocollo ampiamente utilizzato negli ambienti distribuiti. comunemente
usato per dispositivi di rete integrati come router, server modem, switch ecc., per svariate
ragioni:
I sistemi integrati generalmente non riescono a gestire un gran numero di utenti con
informazioni di autenticazione distinte, poich questo richiederebbe molta pi memoria di
massa di quanta ne possiedano la maggior parte di essi.
RADIUS facilita lamministrazione utente centralizzata, che importante per diverse
applicazioni. Molti ISP hanno decine di migliaia, centinaia di migliaia o anche milioni di
utenti, aggiunti e cancellati di continuo durante una giornata, e le informazioni di
autenticazione cambiano costantemente. Lamministrazione centralizzata degli utenti un
requisito operativo.
RADIUS fornisce alcuni livelli di protezione contro attacchi attivi e di sniffing. Altri protocolli
di autenticazione remota offrono una protezione intermittente, inadeguata o addirittura
inesistente.
Un supporto RADIUS quasi onnipresente. Altri protocolli di autenticazione remota non
hanno un consistente supporto da parte dei fornitori di hardware, quando invece RADIUS
uniformemente supportato. Poich le piattaforme sulle quali implementato RADIUS sono
spesso sistemi integrati, vi sono limitate possibilit di supportare protocolli addizionali.
Qualsiasi cambiamento al protocollo RADIUS dovrebbe quantomeno avere una compatibilit
minima con client e server RADIUS preesistenti (e non modificati).
Nonostante ci, stato messo a punto un nuovo protocollo, Diameter, candidato a rimpiazzare
RADIUS: utilizza infatti TCP anzich UDP ed di conseguenza considerato pi sicuro ed
affidabile.

60

Capitolo 6

I LIVELLI DI PROTEZIONE DEL FIREWALL


I firewall rappresentano, insieme agli antivirus, la soluzione di sicurezza pi nota e diffusa.
Troppo spesso,anzi, costituiscono lunica protezione aziendale, mentre sempre pi necessario
adottare un approccio pi ampio e integrato, che parta da unanalisi dei rischi e delle esigenze
aziendali per disegnare unarchitettura completa e definire le corrette e opportune politiche di
sicurezza.
Ciononostante, a meno che la propria rete aziendale non sia totalmente isolata e non connessa a
nessuna rete pubblica o privata esterna, il firewall il primo indispensabile elemento di
sicurezza da attivare.
La questione,pertanto, non se esso sia utile o meno, ma, piuttosto, quale firewall possa essere
pi opportuno,trovando un giusto equilibrio tra le caratteristiche e le funzioni atte a garantire il
richiesto livello di protezione dellazienda e i costi di ownership dello stesso. Senza trascurare
in questo le problematiche della gestione.
Anche il pi economico dei firewall permette, in ogni caso, di proteggere la propria rete dagli
attacchi pi o meno casuali di hacker improvvisati. Una categoria, questultima, che cresciuta
notevolmente con laumentare della disponibilit online di tool automatici di hacking.
Per molte imprese, questi non rappresentano un grande pericolo, poich le informazioni che
potrebbero rubare probabilmente non sarebbero loro di alcuna utilit. Rappresentano in ogni
caso una minaccia in quanto, banalmente, potrebbero causare danni anche involontari,
spostando o duplicando file o cancellandoli. Anche il tempo necessario a ripristinare dati di cui,
fortunatamente o volutamente, disponibile un backup aggiornato, costituisce ovviamente un
impegno economico. Si osservi, inoltre, che, nel caso in cui informazioni sensibili su clienti,
partner o impiegati dovessero venire rubate e/o divulgate, il soggetto interessato potrebbe, in
virt delle leggi esistenti sulla privacy,intentare una causa allazienda. Senza contare, infine, le
situazioni in cui le informazioni sottratte costituiscono una propriet intellettuale alla base della
competitivit aziendale.
Nessuna azienda, di fatto, si pu considerare sicura al 100%, n immune da rischi. Con il
rischio, dunque, si deve imparare a convivere, adottando le opportune misure per ridurlo a un
grado tollerabile.

I livelli di protezione del firewall

CAPITOLO 6

In questo, il firewall svolge una funzione di barriera protettiva allingresso, fornendo un primo
livello di protezione, ma le attuali soluzioni presenti in commercio,in realt, offrono molte
funzionalit aggiuntive.Di fatto, il firewall diventato uno strumento molto potente che
arriva a fornire pi livelli di protezione. Nei successivi paragrafi, sono esaminati i principali
tipi di firewall e le loro caratteristiche, ed analizzate alcune tra le funzionalit distintive, in
genere opzionali, che risultano pi diffuse e utili in un contesto di sicurezza.

LE FUNZIONI DI BASE DI UN FIREWALL

Si possono dare diverse definizioni di un firewall, ma di base un sistema utilizzato per la


protezione di una rete di cui ci si pu fidare da una di cui non ci si pu fidare. Con un
linguaggio pi esperto, si pu affermare che un firewall realizza una politica di controllo
degli accessi tra due reti: tipicamente la rete aziendale e Internet. O, ancora, in altri termini, il
firewall stabilisce a quali servizi interni allazienda possibile accedere dallesterno e
viceversa.

Di fatto, data questa definizione, le funzioni base di un firewall sono due: una serve a bloccare
il traffico, laltra a lasciarlo passare. Esistono diverse modalit con cui questo pu essere
ottenuto ma quello che emerge che un firewall rappresenta un unico punto in cui possibile
imporre dei controlli di sicurezza e un auditing di rete.
Il network manager pu ottenere dati sul tipo di traffico e sulla quantit dello stesso che ha
attraverso tale punto, quindi che entrato e uscito dalla rete. Pu essere informato di quanti
tentativi di ingresso non autorizzato sono stati effettuati e cos via. A questo proposito, le
capacit di reportistica di un firewall costituiscono una caratteristica fondamentale, che
opportuno considerare in tutti gli aspetti correlati.
Nel caso questo sistema rappresenti lunica barriera protettiva, ovvio che le statistiche e i
dati, quali quelli menzionati, devono essere i pi dettagliati e accurati possibile, perch
62

I livelli di protezione del firewall

CAPITOLO 6

rappresentano forse lunico strumento di supporto alle decisioni del security/network manager
in materia di policy da implementare.
Una corretta valutazione dei rischi, in questi casi, pu realizzarsi solo con uno strumento che
fornisca le informazioni opportune. Daltro canto, importante che tali informazioni siano
anche intelligibili. Per questo necessario che siano organizzate o organizzabili secondo viste
idonee a comprendere la situazione e a prendere le decisioni che meglio sposino le policy di
sicurezza con i rischi e le esigenze di business dellimpresa.
Nel caso, invece, di firewall parte di un sistema di sicurezza completo e integrato o, in ogni
modo, nel caso in cui sia prevista uninterazione del firewall con altre applicazioni di security,
allora risulta fondamentale valutare non solo leffettiva interoperabilit degli strumenti, ma
anche linterfacciamento delle applicazioni stesse. In altre parole, assume unimportanza
basilare lesistenza di connettori trai diversi sistemi.
Si consideri, per esempio, un sistema di intrusion detection che abbia rilevato unattivit
scorretta sulla rete. In un sistema completo ed efficiente, tale IDS dovr o direttamente
bloccare lattivit in questione o interagire con il firewall affinch sia lui a inibire il traffico
relativo. In ogni caso, lIDS dovr comunicare con il firewall per eventualmente modificare in
automatico determinate policy di sicurezza. Allo stesso modo dovrebbe essere il firewall a
segnalare anomalie allaltra applicazione. Pu essere lintrusion detection system, ma un
discorso analogo si pu fare per un antivirus. Si consideri, ad esempio in un contesto di
minacce effettuate tramite Internet, che i cosiddetti attacchi assumono sempre pi una
connotazione mista.
Storicamente, le funzioni di base di un firewall sono riassumibili in: filtraggio del traffico
entrante e uscente e traduzione/occultamento degli indirizzi Internet o NAT (Network Address
Translation).

La Network Address Translation (NAT)


La funzione NAT assume un ruolo fondamentale. In sintesi, permette di mascherare gli
indirizzi IP interni alla rete aziendale, mostrando allesterno un unico indirizzo pubblico, che
quello corrispondente al firewall.
In realt, la NAT nata, oltre che per questa funzione protettiva, anzi, soprattutto per fornire un
sistema che consenta di mantenere un indirizzamento privato interno alla rete. grazie a questa
funzione che stato possibile mantenere il sistema di indirizzi IP, noto come IPv4 e nato
quando Internet e, soprattutto, il protocollo IP non avevano avuto lesplosione che hanno
63

I livelli di protezione del firewall

CAPITOLO 6

avuto. Con la NAT, infatti, si ridotto il numero di indirizzi IP pubblici necessari per il Web.
Un Internet service provider, per esempio, pu ospitare pi Web server, ma allesterno quello
che risulter lindirizzo IP del proprio firewall. Naturalmente si tratta di una semplificazione,
ma in ogni caso, ben presto, sar necessario passare allIPv6, perch il numero di indirizzi IP
pubblici statici da registrare destinato ad aumentare vertiginosamente con la diffusione di
terminali wireless che potrebbero essere indirizzati con questo meccanismo.
La funzione NAT descritta da uno standard IETF (Internet Engineering Task Force) che lha
introdotta appunto per consentire a unorganizzazione di presentarsi su Internet con un numero
di indirizzi IP inferiore a quello dei nodi interni alla propria rete.
Le tecnologie NAT sono tipicamente implementate su un router, il dispositivo che si occupa di
analizzare lindirizzamento per instradare verso la corretta destinazione i pacchetti. quindi il
router che provvede a modificare lheader dei pacchetti in modo da convertire lindirizzo
privato dei nodi della rete aziendale in uno o pi indirizzi pubblici. Grazie alla funzione NAT,
il router mantiene anche traccia dei nuovi indirizzi per ogni sessione attiva. In questo modo,
quando un utente della rete aziendale invia una richiesta a un Web server su Internet, il router
pu riconvertire i pacchetti della risposta instradandoli verso il client di origine.
Le implementazioni NAT spesso prevedono anche la funzione di Port Address Translation
(PAT), che consente di alterare i numeri di porta nellheader, aggiungendo un ulteriore livello
di differenziazione tra la rete reale e la sua immagine esterna.
Uno degli svantaggi della NAT semplice che annullala trasparenza di Internet, per
mantenere la quale i pacchetti dovrebbero rimanere intatti da entit sorgente a entit di
destinazione. Se da un lato, infatti, si protegge la privacy della rete, dallaltro si garantisce un
livello di anonimato, che, talvolta, un vantaggio per i malintenzionati. Si innesca, qui, un
circolo vizioso, tale per cui per aumentare la sicurezza necessario pi controllo, ma per
questo si deve necessariamente ledere maggiormente la privacy, il che, per certi versi,
contrario alla concezione della sicurezza.
Uno dei meccanismi di realizzazione della NAT, che supera questa limitazione e che sta
registrando una adesione crescente, il sistema RSIP (Realm Specific IP). Questo, invece di
inserire i nuovi indirizzi IP nellheader dei pacchetti a livello di router o firewall, opera a
livello client. Quando un utente (un client RSIP) vuole contattare un host su Internet, prima
inoltra a un server RSIP la richiesta di un numero di porta e di un indirizzo IP pubblico. Il
client, successivamente, invia i pacchetti al server RSIP (normalmente con tecnologie di
tunneling), che li inoltra verso Internet eliminando lheader di tunneling. Sui pacchetti di
64

I livelli di protezione del firewall

CAPITOLO 6

ritorno, il server controlla il numero di porta del client, aggiunge nuovamente il tunnel header e
inoltra il tutto al client RSIP.

Il filtraggio del traffico


Il traffico pu essere filtrato con diverse tecnologie e pu essere analizzato a vari livelli. Il
livello di dettaglio pi o meno spinto di questa analisi una delle caratteristiche che permette
di distinguere qualitativamente un firewall da un altro.
In ogni caso, poich normalmente si ritiene il traffico entrante (inbound) quello pi pericoloso
per la sicurezza della rete, questo che viene sottoposto a un controllo pi accurato. Peraltro, il
traffico uscente (outbound) pu dire molto su quanto sta accadendo sulla rete, oltre che
consentire di controllare la legittimit delle azioni compiute dagli utenti, pur autorizzati, della
rete stessa.
In generale, i firewall in commercio adottano tre modi possibili per analizzare il traffico: per
indirizzo del mittente, in funzione della richiesta dellutente e in base ai contenuti della
comunicazione.
Effettuando questo tipo di analisi e a seconda di regole predefinite, il firewall pu gi realizzare
unimmediata scrematura del traffico, per esempio, bloccando tutto il traffico entrante che non
sia stato specificatamente richiesto da un client sulla rete. Oppure pu essere fermato tutto il
traffico proveniente da un determinato indirizzo, perch si ritiene appartenga a una rete o a un
sito non sicuro.
Analogamente, pu essere bloccato il traffico uscente quando diretto verso un sito
considerato non consono alle attivit aziendali.
In generale, il firewall effettua un primo screening, stabilendo immediatamente se un
determinato flusso sia da considerare autorizzato o meno. I prodotti pi elementari spesso si
limitano a questo, mentre quelli pi avanzati attuano successivi livelli di filtraggio, analizzando
pi in dettaglio i pacchetti, fino anche a esaminarne tutto il campo dati utile (payload).
In casi come questi, la corretta configurazione delle policy del firewall e, prima ancora, la
stessa installazione della soluzione rappresentano un elemento fondamentale per la corretta
implementazione della sicurezza in azienda.

65

I livelli di protezione del firewall

CAPITOLO 6

LE TIPOLOGIE DI FIREWALL

Esistono tre tipologie di firewall che sono riconosciute dallICSA (International Computer
Security Association): packet filtering, proxy server e stateful packet inspection firewall.

Packet filtering firewall


I packet filtering firewall sono quelli pi semplici e normalmente vengono integrati in router,
modem a banda larga, switch o altri dispositivi di tipo server appliance (quali traffic shaper,
load balancer e cos via). In effetti, sono semplici da realizzare, richiedono un impegno ridotto
della CPU e causano un modesto overhead della memoria.
Il meccanismo prevede lanalisi di un pacchetto alla volta, senza conservare informazioni sui
pacchetti precedenti. Ognuno di essi, singolarmente, viene messo a confronto con un insieme
di regole. In generale, tali regole sono basate su indirizzo e numero della porta della sorgente o
della destinazione.
Alcuni packet filtering firewall si spingono a osservare le flag TCP, come i pacchetti SYN,ma
spesso con funzionalit non completamente automatiche che ne impediscono una reale
implementazione.
Di fatto, si tratta di unanalisi statica dei pacchetti, che pu essere utile per unimmediata
scrematura di alcuni tipi di traffico molto specifico, quale, per esempio, quello SNMP o
NetBIOS, che pu sottintendere azioni di management. Se non prevista una gestione da
remoto, questo tipo di traffico non normale che debba attraversare un firewall.
Questa tipologia di filtraggio dei pacchetti presenta alcune debolezze significative in termini di
sicurezza. In particolare, sono vulnerabili allIP spoofing, non possono osservare una sequenza
di numeri TCP e, quella che probabilmente la cosa peggiore, non possono generalmente
determinare se la connessione stata realizzata dallinterno o dallesterno della rete. Per
esempio, qualcuno dallesterno potrebbe mandare dei pacchetti su una porta del firewall
comunemente aperta (come la 53 per il DNS o l80 per lHTTP) ed effettuare una scansione
dellintera rete interna.

Proxy server firewall


I firewall di tipo proxy sono spesso considerati quelli pi sicuri, ma certamente sono anche
quelli pi intrinsecamente lenti. Ci sono due tipi di proxy firewall: quelli cosiddetti generici e
gli application specific (o anche application level) proxy firewall.
66

I livelli di protezione del firewall

CAPITOLO 6

Quelli generici, tipicamente, proteggono contro attacchi IP, quali la frammentazione o lo


spoofing, ma non possono fare molto rispetto agli attacchi di protocollo. Il proxy si pone tra
client e server, che non vengono cos ad avere una connessione diretta, e agisce da client per il
server e viceversa.
Gli application level proxy firewall, invece, possono ispezionare il traffico per protocollo (per
esempio HTTP o SMTP). Cos facendo possono controllare la validit di alcune destinazioni
(per esempio, confrontando le richieste con un elenco di HTTP autorizzati nelle connessioni al
Web) e cercare di rilevare gli exploit, come i buffer overflow. Non tutti gli application proxy
firewall sono uguali: anche se alcuni portano lanalisi fino al Layer 7 della pila OSI,
tipicamente essi operano solo a livello di protocollo. Se il proxy controlla solo la sintassi di
protocollo, allora non pu essere in grado di bloccare pacchetti i cui il campo dati fosse
distruttivo.
Molti proxy firewall, inoltre, sono dedicati e supportano solo alcuni specifici protocolli. Ogni
applicazione nuova che si volesse controllare richiede linstallazione e la configurazione di un
nuovo application proxy. I proxy server preposti a facilitare il traffico da e per Internet, inoltre,
potrebbero richiedere una riconfigurazione dei parametri di rete per ogni nuova installazione di
application proxy. Ne deriva un impegno amministrativo non indifferente. Per questo, spesso
gli application specific proxy firewall vengono implementati solo per controllare alcuni tipi di
traffico specifici (tipicamente, flussi HTTP e FTP), mentre la barriera dingresso viene
realizzata con uno stateful packet inspection firewall.

Stateful packet inspection firewall


Gli stateful packet inspection firewall, anche riferiti come dynamic packet filtering firewall,
effettuano appunto un filtraggio dinamico dei pacchetti. Questo consiste in un filtraggio a
livello di rete che, a differenza del filtraggio dei pacchetti statico (che, va ricordato, esamina un
pacchetto per volta basandosi sulle informazioni contenute nel suo header), effettua il tracking
di ogni singola connessione, verificandone la validit. I firewall stateful inspection, infatti,
operando a livello di applicazione, ispezionano anche il contenuto del pacchetto e non
solamente le informazioni relative allorigine e alla destinazione. Essi, inoltre, conservano una
tabella che contiene le informazioni di stato di ogni connessione e, quindi,possono controllare
quando una connessione iniziata e finita, cos come se ha uno svolgimento regolare.
Alcuni esempi di informazioni relative a stato e contesto di una connessione che dovrebbero
essere analizzate e memorizzate da un firewall che realizza unispezione stateful sono:
67

I livelli di protezione del firewall

CAPITOLO 6

Informazioni contenute nellheader del pacchetto (indirizzo di sorgente e destinazione,


protocollo, numero di porta di sorgente e destinazione, lunghezza del pacchetto).
Informazioni di stato della connessione (quale porta stata aperta per quale
connessione).
Dati TCP e sulla frammentazione IP (per esempio, il sequence number o il fragment
number).
Tipo di applicazione (per esempio a quale sessione appartiene il pacchetto, per
verificare che il contenuto sia conforme al contesto).
Interfaccia di ingresso e uscita dal firewall con riferimento a data e ora del passaggio.
Informazioni di Layer 2 (come lidentificativo di una VLAN).
Grazie a questo filtraggio accurato, a differenza, come accennato, dei semplici packet filtering
firewall, quelli di tipo stateful inspection possono proteggere la rete da connessioni con
pacchetti non appartenenti alla sequenza e dallIP spoofing.
Lo spoofing una tecnica adoperata dagli hacker per mascherare il proprio indirizzo IP.
Spesso, sostituiscono il proprio indirizzo sorgente con uno appartenente alla rete privata
dellazienda che vogliono attaccare. In questo modo, non viene riconosciuto dal semplice
packet filtering, per il quale, lindirizzo autorizzato a passare, ma viene invece rilevata
unanomalia dalla stateful packet inspection, poich il pacchetto proviene dallesterno, pur
risultando generato allinterno.
Un attacker non pu neanche tentare di far passare pacchetti facendoli apparire appartenenti a
una connessione esistente, perch ne viene verificata la consistenza con il resto della
connessione (in taluni casi, come detto, anche esaminando i payload dei pacchetti). Nel caso
non fossero del tutto previste connessioni TCP provenienti dallesterno, si possono definire
regole che bloccano tutte le richieste SYN, limitando se non eliminando il rischio di scansione
della rete dallesterno.
I firewall stateful packet inspection richiedono, per operare, una grande quantit di memoria e
un grande impegno della CPU. Il che pu porre problemi in termini di scalabilit. Non basta
guardare,dunque,le prestazioni in termini di throughput, ma bisogna verificare queste
performance in condizioni di intenso traffico. Le caratteristiche del filtering dinamico, per,
consentono di implementare molte funzionalit a livello hardware, cos come di accelerare le
analisi con architetture dedicate. Non un caso, quindi, che molti firewall di questo tipo siano
disponibili preinstallati su apposite appliance di rete.
68

I livelli di protezione del firewall

CAPITOLO 6

LE FUNZIONI AVANZATE DI UN FIREWALL

Il firewall un elemento di sicurezza fondamentale che, come evidenziato, pu


opportunamente essere inserito in un contesto pi ampio, allinternodi un sistema di sicurezza
integrato.
A questo, tale soluzione apporta importanti componenti e funzionalit che vanno oltre quelle
basilari fin qui esposte.
Alcune di quelle che si potrebbero considerare funzioni avanzate, in realt, sono talmente utili
e consolidate che vengono ritenute, di fatto, naturali nella dotazione di un firewall. In
particolare, quelle riferite come DMZ (Demilitarized Zone) e VPN (Virtual Private Network). I
paragrafi seguenti illustrano con maggior dettaglio le caratteristiche di alcune funzioni
avanzate tra le pi diffuse sul mercato.

La costituzione di una DMZ per proteggere la LAN


Come suggerisce il nome stesso, una DMZ (Demilitarized Zone) costituisce una zona
franca,che non vuol dire insicura o non protetta.
In sintesi, realizzare una DMZ significa creare un pool di risorse accessibili agli utenti, ma
separate dalle risorse interne della LAN, che risulta cos al riparo da intrusioni. Gli eventuali
danni causati allinterno di una DMZ devono essere possibilmente rapidamente e facilmente
riparabili, adottando anche tecniche di backup e recovery.
Una DMZ tipicamente utile alle imprese che invitano gli utenti finali a contattare la propria
rete attraverso connessioni esterne, in particolare da Internet. Pu essere il caso di ISP (Internet
Service Provider) che ospitano Web Server, come pure di aziende che decidono di mantenere
lo stesso in house o di fornire altri servizi direttamente alla clientela. In altri casi, le imprese
possono realizzare una DMZ per mettere a disposizione di partner e fornitori una serie di
risorse e informazioni senza consentire un accesso diretto alla propria rete aziendale.
Allinterno di una DMZ trovano tipicamente posto Web server, mail server, FTP server e altri
servizi applicativi cui si voglia dare accesso. In taluni casi, si pu prevedere anche un
Authentication server, laddove laccesso alle risorse sia comunque limitato a utenti autorizzati.

69

I livelli di protezione del firewall

CAPITOLO 6

Per realizzare una DMZ, un firewall deve essere dotato di almeno tre porte: una verso Internet,
una verso la LAN e una verso la DMZ. La DMZ deve essere idealmente mantenuta
completamente separata dalla rete locale aziendale.
Nella realt, per, spesso necessario prevedere che uno o pi server della DMZ possano
accedere ad alcune risorse sulla LAN: per esempio, un database per aggiornare le informazioni
da mantenere online. Questo tipo di comunicazione, peraltro, generalmente molto ben
definita e, quindi, altrettanto ben controllabile dal firewall, attraverso il quale, in ogni caso,
passano tutti gli eventuali collegamenti tra LAN e DMZ. questo il tipico caso in cui pu
essere opportuno installare un application proxy firewall o implementare una funzione di
questo tipo per controllare il traffico tra LAN e DMZ.
Pu anche rivelarsi opportuno installare due firewall: uno pi esterno, che dirotta il traffico
verso la DMZ lasciando passare solo alcuni flussi selezionati o nulla verso la LAN, e uno
interno, che si pone a guardia della LAN, filtrando il traffico proveniente dal primo firewall e
governando la comunicazione tra DMZ e LAN.
Spesso viene consigliato di adottare due firewall di due vendor diversi. In questo modo si
riduce il rischio di intrusione, perch improbabile che le due barriere presentino gli stessi
eventuali buchi. Naturalmente, cos si introduce un sovraccarico gestionale.

Una barriera prima del tunnel delle VPN


Una VPN una rete privata virtuale costruita utilizzando connessioni di una rete pubblica, di
fatto, in condivisione con altri utilizzatori. Perch risulti quindi virtualmente privata, la VPN
deve possedere caratteristiche di sicurezza, al fine di garantire la confidenzialit e lintegrit
70

I livelli di protezione del firewall

CAPITOLO 6

dei dati. Un interesse crescente stanno avendo le VPN realizzate su Internet, perch consentono
di ottenere un servizio simile a quello di una rete privata con linee affittate ma a un costo
nettamente inferiore.
Per realizzare una VPN si adottano tecniche di tunneling, in base alle quali i dati vengono
diretti verso le destinazioni finali allinterno di percorsi protetti con tecniche di encryption.
Alle due estremit del collegamento vengono posti due gateway, che riconoscono le varie
sessioni e inoltrano i pacchetti alla corretta destinazione dopo averli decifrati.
Tale funzionalit tipicamente svolta da un router e pu essere svolta anche da un firewall.
Molti dispositivi in commercio vengono, infatti, dotati di capacit crittografiche e di tunneling.

Content filtering
Nel momento in cui loperativit di un firewall consiste nel controllo e filtraggio dei pacchetti,
viene in un qualche modo naturale ritenere che qualsiasi azione si debba compiere, in
connessione con le informazioni implicite nei pacchetti, possa essere realizzata da un firewall.
Questo approccio ha portato alla realizzazione di dispositivi ibridi, sui quali, oltre alle
funzionalit di base del firewalling, sono installate anche applicazioni direttamente o
indirettamente connesse con la sicurezza. Alcuni esempi concreti riguardano il caching e il load
balancing.
Esistono, poi, una serie di funzionalit atte a migliorare la gestione del traffico, che si abbinano
bene a un firewall ma che preferibile mantenere separate, come il traffic shaping o lo stesso
caching, per ragioni soprattutto gestionali. Vi sono, poi, altre applicazioni che appaiono pi

71

I livelli di protezione del firewall

CAPITOLO 6

direttamente connesse al lavoro che deve svolgere un controllore di accessi. Una di queste
il content filtering.
Il content filtering nato con lo sviluppo di Internet e con la diffusione di comportamenti
scorretti in azienda, tali per cui gli impiegati hanno cominciato a utilizzare la rete delle reti a
scopi privati e non produttivi. Chat, siti sportivi o comunque votati allintrattenimento
difficilmente si giustificano con un interesse professionale.
Grazie a dei filtri, chiamati Web site filter o content filter, un responsabile dei sistemi
informativi pu impedire che determinati siti o contenuti siano accessibili dalla propria rete.
Tali funzionalit possono essere integrate in un firewall, che di per s gi preposto al
controllo del traffico uscente dalla rete. Il content filtering ,dunque,una tecnica che si applica
al traffico outbound e pu prevedere una lista di siti predefinita, tale per cui il firewall controlla
che la richiesta di accesso al Web non sia diretta verso uno di questi siti. Nel caso lo
fosse,allora la richiesta verrebbe negata, altrimenti eseguita. Si pu scegliere se bloccare
totalmente laccesso a tali siti o permetterlo ma registrarlo.
Soprattutto in questultimo caso, per, necessario chiarire ufficialmente la posizione
dellazienda ai dipendenti, che vanno informati delle policy implementate, ai sensi della legge
sulla privacy. La lista dei siti deve essere aggiornata con una certa frequenza e regolarit. Per
questo possibile adottare strumenti automatici che controllano migliaia e migliaia di siti per
verificarne il contenuto. Pi semplicemente esistono servizi a pagamento che realizzano tale
controllo e aggiornano automaticamente la lista definita dallazienda in base a propri criteri.

72

Capitolo 7

LAFFERMAZIONE DELLE VPN


Il binomio rete trasmissiva e sicurezza un aspetto chiave del passato e del futuro delle reti e
dei servizi aziendali, ma va considerato che la tecnologia, che traduce in pratica questi concetti
e che verr installata in azienda, richiede un insieme di conoscenze in parte anche
profondamente diverse dalle attuali e con impatti significativi dal punto di vista tecnologico,
progettuale e organizzativo. Nei paragrafi seguenti viene analizzato come si arrivati a
sviluppare il concetto di rete privata virtuale, che si contrappone a quello di rete privata, cio di
una rete geografica realizzata con linee affittate e generalmente molto costosa, ma di per s
sicura, proprio in quanto privata. Successivamente sono esaminate le tecnologie disponibili
per la realizzazione di una VPN (Virtual Private Network).
Gli aspetti progettuali e ingegneristici non presentano sostanziali differenze quando si realizza
una rete pubblica o privata. Il problema, relativo al come impostare e affrontare la
progettazione e costruzione di una nuova rete assicurando la sicurezza dei dati che vi transitano
il medesimo e cio come realizzare una rete in grado di facilitare lo sviluppo e lesercizio di
servizi nuovi o consolidati, che rispondano al mutare delle esigenze, e come ottenere un
sistema rete dotato di un livello qualitativo adeguato e soddisfacente per quanto concerne la
sicurezza.
Se, di base, una rete deve disporre di funzioni di espandibilit e continuit operativa va inoltre
considerato che, nel caso delle reti convergenti in sviluppo, questi ultimi aspetti (e in
particolare quanto riferito come QoS, la qualit del servizio) risultano fortemente enfatizzati.
Progettare e realizzare una rete aziendale che si basi su questi punti di riferimento pu essere in
molti casi un impegno da non sottovalutare, sia per i progettisti della rete sia per i suoi
successivi gestori.

Le reti prima dellIP


Laffermazione delle reti IP native non deve per portare a trascurare lesistenza di un insieme
ancora maggioritario di soluzioni basate su tecnologie anche profondamente diverse. Al
momento, anche se la realt sta cambiando molto rapidamente, si ha la presenza sul territorio
sostanzialmente di due tipi di rete, basate su architetture, topologia e tecnologie molto diverse:

Laffermazione delle VPN

CAPITOLO 7

quella IP (che in molti casi usato come sinonimo di Internet) e quella storicamente basata
sulla commutazione TDM (Time Division Multiplexing) e riferita come PSTN (Public
Switched Telephone Network). Questultima la convenzionale rete telefonica, con tutta la sua
gerarchia di centrali e di livelli di rete di multiplazione dei canali telefonici stessi. Va osservato
che il termine Internet viene spesso usato in modo improprio, per riferirsi a una rete dati che
utilizza il protocollo IP per la realizzazione delle funzionalit del livello3 di rete e il TCP, per
quanto concerne le funzioni di trasporto end to end di livello 4 e parte del superiore livello5.
Una tale digressione necessaria perch le due tipologie di rete, quella IP e quella PSTN,
presentano differenze fondamentali che suggeriscono di porre attenzione ad alcuni dei
parametri che le caratterizzano e che rendono necessari specifici apparati, sviluppati in accordo
a standard de jure o de facto. Questi apparati si aggiungono a quelli gi in esercizio, quando si
intraprende la realizzazione di una rete aziendale di tipo convergente, partendo da quelle
dedicate alla voce e ai dati gi presenti in azienda. Ne consegue che indispensabile
individuare e definire un percorso di migrazione aderente a quanto installato e in funzione delle
funzionalit che si desidera inglobare nella rete di nuova generazione. Questo quanto pi si
desidera rendere sicura la rete trasmissiva.
Quello che da tenere presente che lIP rientra tra le tecnologie trasmissive per dati che
fanno parte della famiglia a commutazione di pacchetto. Alla stessa famiglia appartengono
tecnologie note o meno note come X.25, Frame Relay e SNA, che utilizzano al livello 2 un
protocollo di controllo del link basato sul principio della finestra di trasmissione dei pacchetti,
anche se hanno un modo leggermente diverso di gestire tale finestra e un diverso modo di
effettuare linstradamento dei pacchetti dati inoltrati in rete. Questo si basa sul concetto di
circuito virtuale permanente, per i derivati dallo standard ITU X.25, e sul datagramma, per lIP.
In effetti, il concetto del datagramma, in base al quale ogni pacchetto contiene lindirizzo di
destinazione e quindi pu seguire percorsi diversi di rete, e quello di circuito virtuale o VC
(Virtual Circuit), in base al quale i pacchetti viaggiano in sequenza sullo stesso percorso logico,
sono due concetti alternativi e per anni hanno identificato due diverse scuole di pensiero nelle
modalit realizzative di una rete dati.
La rete telefonica PSTN invece una rete basata sul circuito e sulla realizzazione a livello di
rete e di centrali di transito di una connessione diretta tra chiamante e chiamato. Questo
assicura lelevata qualit e affidabilit di una connessione e del sistema stesso nel suo insieme.
Quanto detto vero in generale, anche se la descrizione fatta ragionevolmente semplificata,
poich nella pratica reti dati a datagramma, come quelle IP e reti telefoniche PSTN, si sono
74

Laffermazione delle VPN

CAPITOLO 7

progressivamente diversificate dal modello originale a seguito di costanti evoluzioni


tecnologiche. Pur nellaccettazione universale del TCP/IP, quando si passati dal mondo
Internet (sostanzialmente di tipo consumer) al mondo business, sono emersi alcuni aspetti
negativi del concetto datagramma insito nellIP.
Di principio, il funzionamento a datagramma di IP rende imprevedibile il tempo di consegna
dei pacchetti a destinazione, cosa che risulta critica per applicazioni di fonia,
videocomunicazione, videosorveglianza e cos via. Gli sviluppi hanno preso la strada di
soluzioni VPN (Virtual Private Network) o di instradamento di IP su infrastrutture di rete che
per loro natura portano alla sequenzializzazione dei pacchetti, come per esempio lambito
LAN, lambito ATM (che funziona con circuiti virtuali) o lambito metropolitano con anelli
SDH, tutte realt per cui sono stati sviluppati robusti criteri atti a garantire la sicurezza dei dati
trasportati.

Architetture e apparati per reti convergenti e VPN


Unarchitettura di rete basata sui servizi, tipica dei recenti sviluppi da parte di fornitori e di
carrier, presenta il vantaggio di nasconderne la complessit e di mascherare allutilizzatore
unevoluzione infrastrutturale, in cui un ruolo importante lo hanno assunto apparati, come i
gateway, interposti tra reti diverse,i gatekeeper o i server di rete, tutti supervisionati da appositi
dispositivi o servizi che ne assicurano la gestione e la sicurezza.
Gateway e gatekeeper assumono, in unarchitettura convergente, un aspetto chiave sia che si
vada nella direzione di un sostanziale ricambio della generazione di apparati di rete esistenti sia
che si intraprenda la strada della migrazione progressiva e graduale. Nel primo caso, il loro
utilizzo viene a realizzare lo strato esterno della rete e ne permette la connessione alle reti
pubbliche, mentre, nel secondo caso, il loro utilizzo diventa necessario non solo per la
connessione al mondo esterno ma anche per la connessione nellambito aziendale delle
sottoreti convenzionali esistenti.
I due apparati, che sotto il profilo implementativo possono presentarsi sotto forma di
dispositivi autonomi o di pacchetti software caricabili nei nodi di rete (facendo quindi parte di
unarchitettura di rete estesa), realizzano la funzione chiave di permettere agli utenti di una rete
IP a commutazione di pacchetto laccesso ai servizi e agli utenti di una rete telefonica PSTN di
raggiungere gli utilizzatori stessi, in modo trasparente.
In sostanza, forniscono il servizio di trasporto di base e le necessarie funzioni di conversione
dei criteri di segnalazione tra le reti interconnesse e la gestione dei criteri di formazione,
75

Laffermazione delle VPN

CAPITOLO 7

controllo e abbattimento delle chiamate. In pratica, i dispositivi di gateway formano uno strato
esterno che incapsula la rete aziendale e la maschera dal mondo esterno, facendola percepire
come se fosse una rete del tutto simile e viceversa. I gatekeeper sono invece degli apparati a cui
demandata la funzione di gestione di domini di gateway, costituiti da pi gateway che fanno
riferimento a un piano di indirizzamento predefinito.
Con i dispositivi di gateway il problema per semplice in apparenza e complesso nella realt,
perlomeno in questa fase evolutiva in cui gli standard non appaiono ancora del tutto stabilizzati
e sono emerse in proposito diverse scuole di pensiero. Se, in teoria, una rete convergente
dovrebbe portare a una semplificazione progettuale e realizzativa, il progettista si trova invece
a scontrarsi con una realt che in prima battuta appare essere in controtendenza allauspicata
semplificazione.
In effetti, con le convenzionali reti di fonia e dati oramai da anni che ci si muove in un
contesto di standard pi che consolidati e stabili, ma anche in presenza di apparati di diversi
fornitori la cui interoperabilit garantita da anni di funzionamento nelle stesse reti e
certificata da enti internazionali indipendenti. Ci non ancora del tutto vero per le tecnologie
convergenti, anche se i costruttori stanno accelerando proprio la fase di armonizzazione di
standard e interoperabilit. Per esempio, per ci che riguarda le funzioni di segnalazione si
assistito a un proliferare di standard che vedono nellarena sigle come H.323, SS7 (Signaling
System 7), MGCP (Media gateway Control Protocol) o SIP (Session Initiation Protocol) e che
coinvolge anche modalit di dialogo tra directory quali RAS (Registration/ Administration/
Status protocol), ILS (Internet Location Server) o LDAP (Ligthweight Directory Access
Protocol), quando si deve garantire linteroperabilit tra reti non solo sul piano fisico ma anche
funzionale.
Un ulteriore aspetto da considerare costituito dai servizi che una rete convergente deve
erogare e dalla qualit che deve corrispondere ai singoli servizi e dalla rete nel suo complesso.
La scuola di pensiero che in questo ambito si sta facendo strada che, in ogni caso, la qualit
di una rete di nuova generazione di tipo convergente deve essere perlomeno allo stesso livello
qualitativo di una rete PSTN. Cosa facile da dire ma meno da attuare.
Una soluzione al problema ha richiesto lo sviluppo di apparati e architetture di rete basati su
switch o nodi di rete di nuova generazione, progettati in modo nativo proprio per erogare e
gestire la qualit del servizio e livelli di servizio concordati adottando specifici protocolli.
Tra questi, quelli maggiormente diffusi sono quello riferito come Differentiated Services o
DiffServ, MPLS (Multiprotocol Label Switching) e RSVP (Resource Reservation Protocol).
76

Laffermazione delle VPN

CAPITOLO 7

Va tenuto presente che servizi, come quelli vocali, richiedono poi che sia possibile garantire
una larghezza di banda costante, mentre se si realizza una transazione dati di commercio
elettronico, la costanza della banda disponibile assume un valore secondario, data la limitatezza
del messaggio, e assume un aspetto importante la sicurezza e il relativo criterio di cifratura.

CONVERGENZA E VPN ALLINSEGNA DI IP

In parallelo alla diffusione del protocollo IP, proposto come infrastruttura di trasporto
multiservizio, e dellaffermazione in azienda dellapproccio VoIP e di rete convergente(e
relative architetture), si assistito alla riformulazione in chiave IP di un concetto esistente da
tempo, quello delle reti private virtuali, sia ritagliate allinterno di una rete di backbone di un
carrier sia fornite da service provider specializzati. Anche in questo caso, lutilizzo di un
concetto noto in un contesto di servizi e di protocolli innovativi porta inevitabilmente a
esaminare i problemi connessi allutilizzo di una VPN come substrato per le comunicazioni
aziendali e agli standard che si sono consolidati per una trasmissione sicura delle informazioni
su un tale substrato.
Lampia accettazione di IP e la sua universale diffusione hanno portato a concentrarsi sugli
aspetti positivi, che sono quelli connessi allesistenza di uno strato di comunicazione
omogeneo su scala mondiale. IP come strumento di base nella realizzazione di VPN
innovativo, ma come protocollo, non come concetto, essendo molte le reti VPN esistenti che
utilizzano protocolli consolidati come il Frame Relay, in grado di trasportare voce
pacchettizzata con una qualit non inferiore allIP, come si evince dalla disponibilit di una tale
funzione nellofferta di un ampio numero di carrier e provider di servizi.
Laffermazione delle IP VPN, in realt, legata al presupposto di realizzazione a basso costo
di una rete privata che sfrutti la gratuit di Internet. Di fatto,rispetto a reti affittate in
condizioni di sostanziale monopolio, si verificata gi unimportante riduzione dei costi, in
Italia, con lapertura del mercato dati nel 1994 e di quello voce nel 1998. Una VPN, in ogni
caso, costa meno di una rete privata e, in prospettiva, la diffusione di infrastrutture IP
multiservizio consentir ai service provider di risparmiare sui costi di realizzazione di una VPN
basata sul protocollo IP. Gi adesso, come vedremo meglio in seguito, possibile sfruttare
Internet per realizzare una connessione sicura attraverso gateway che, utilizzando protocolli
standard, sono supportati da molti provider.

77

Laffermazione delle VPN

CAPITOLO 7

Dove risiede la vera e sostanziale novit nel campo delle applicazioni. Con IP e VPN viene a
svanire la modalit di sviluppo differenziato tra applicazioni LAN e WAN, sostituita da un
approccio che considera come base il mondo Internet in un contesto end to end di accesso
remoto tramite VPN, Web come architettura di base e una comunicazione (email e fax) sempre
pi in formato elettronico e sempre meno cartacea. Considerazione analoga si applica al campo
della sicurezza.

La sicurezza dei dati con le VPN


Vi sono fondamentalmente due modi con cui utilizzare vantaggiosamente una rete VPN nel
contesto aziendale.
Il primo, disponendo di un adeguato accesso a Internet, prevede lobiettivo principale di
espandere le relazioni con i propri clienti. Il secondo, che pi complesso e richiede una certa
predisposizione e skill aziendale, consiste nellutilizzare Internet o il protocollo IP, canalizzato
tramite un carrier, non solo per i propri clienti ma anche per interconnettere le proprie sedi
aziendali. In pratica, con una VPN si ha la realizzazione di uninterconnessione geografica da
sede a sede (generalmente da LAN a LAN) con un costo che solo una frazione di quello
tipico delle reti geografiche. Ovviamente il risparmio cresce con il crescere della dispersione
delle sedi aziendali su base territoriale e in funzione della loro distanza reciproca.
Entrano in gioco anche altri fattori, quali il tipo di contratto sottoscritto (se globale
indipendentemente dal traffico, a volume, a tempo e cos via) oppure la natura degli SLA
(Service Level Agreement) sottoscritti (in particolare, in termini di qualit del servizio).Tutti
aspetti cui va dedicatala corretta attenzione in fase di definizione del contratto di fornitura.
Come evidenziato in precedenza, il concetto di una rete virtuale risale agli anni 80 e anche se di
recente si fatto un gran
parlare di VPN, solo ora sono concretamente disponibili gli strumenti per una loro effettiva
realizzazione su larga scala: apparati e standard per le connessioni, la sicurezza nel
trasferimento dei dati e il controllo della qualit del servizio.
Attenzione particolare va dedicata allaspetto sicurezza. Una VPN virtualmente privata,
proprio perch utilizza infrastrutture di rete condivise anche da altri utenti. Internet, poi, una
classica rete aperta , quindi,inlinea di massima,aperta lo anche una VPN. Per questo
necessario che siano implementati opportuni criteri sia da parte del fornitore sia
dellutilizzatore della VPN stessa. I dati immessi in rete nel punto di origine, per arrivare al
punto di destinazione, attraversano nodi appartenenti a sottoreti diverse, che assicurano come
78

Laffermazione delle VPN

CAPITOLO 7

funzione di base la commutazione o routing dei pacchetti IP verso il nodo di destinazione.


Proprio questa multipropriet apre la strada ad attacchi dallesterno che possono avere impatti
fortemente negativi sugli utilizzatori. La sicurezza necessariamente connessa a buona parte
delle applicazioni che possono basarsi su Internet ha fatto, quindi, emergere quello della
protezione dei dati come uno degli aspetti di base nello sviluppo di reti private virtuali
ritagliate su backbone IP. In sostanza, chi si appresta a utilizzare una VPN, ha la necessit di
essere protetto dallaccesso ai suoi dati da parte di persone non autorizzate.
Il problema non nuovo ed era gi stato affrontato negli anni 80, quando si sono sviluppati gli
standard X.400 e X.500 per la messaggistica e i servizi di directory ed Edifact per lo scambio
di documenti amministrativi. I punti fondamentali da risolvere e da tenere in debita
considerazione sono connessi allautenticazione delle due parti coinvolte in una sessione, la
riservatezza o confidenzialit di quanto trasmesso, che non deve poter essere intercettato, e
lintegrit dei dati, che devono essere ricevuti invariati rispetto a quelli inviati. Come dato di
fatto, esistono oggi risposte concrete a queste esigenze di cui alcune sviluppate proprio per
lambito IP, come lIPSec (Internet Protocol Security), uno standard specifico per Internet e
applicazioni di commercio elettronico su Internet.

LA REALIZZAZIONE DI UNA VPN

Per cominciare, trattandosi di un progetto di rete, necessario adottare un approccio


schematico che prenda in considerazione i diversi aspetti. Come punto propedeutico
opportuno rendere sicura agli accessi dallesterno la propria LAN, adottando opportuni
strumenti di firewalling.
Il primo passo nel realizzare una VPN sicura consiste nel connettere a Internet le LAN
aziendali.
Ci viene realizzato mediante una connessione geografica, dedicata o commutata per le sedi
con ridotte esigenze di connettivit,che collegala sede aziendale al POP del provider prescelto e
che, essendo generalmente realizzata a livello urbano, risulta meno onerosa di una connessione
geografica dedicata extraurbana.
Realizzata la connessione, che prevede lutilizzo di router o di una funzione equivalente
compresa in uno degli switch della LAN, il link geografico deve essere configurato
relativamente a parametri come la velocit o lindirizzo IP assegnato dal service provider.

79

Laffermazione delle VPN

CAPITOLO 7

Se la connessione al provider, invece che una linea dedicata, utilizza un accesso commutato, va
considerato che non tutti i fornitori prevedono un servizio di call out. Ci implica che la sede
potenzialmente chiamata dallesterno deve essere mantenuta online nei periodi in cui sono
attive applicazioni che richiedono una risposta immediata.
Realizzata e attivata la connessione al provider, le sessioni di lavoro, successivamente attivate
dai client e dai server di rete, vengono convogliate su un canale logico riferito in letteratura con
il termine di tunnel, che collega la porta WAN locale alla porta WAN della sede remota. Il
link pu poi essere configurato in base a esigenze di filtraggio degli indirizzi e di cifratura dei
dati adatti alla specifica esigenza aziendale.
Lapplicazione che deve trasmettere dei dati ha la sola necessit di utilizzare lindirizzo IP del
router di destinazione e la chiave di cifratura predeterminata.
Per sistemi dove si richiede unelevata sicurezza si pu poi ricorrere sia a una cifratura
specifica del tunnel geografico sia a una cifratura delle singole sessioni con chiavi differenti.
Configurato il tunnel, il traffico che viene inviato alla sede remota viene prima cifrato e poi
inserito in un pacchetto dati IP e inviato alla rete. Nel caso la sessione utilizzi un trasporto
geografico non IP, il pacchetto IP viene a sua volta inserito nel campo dati del protocollo di
rete geografica adottato dal carrier, per esempio Frame Relay, X.25o ATM.

Laffermazione dello standard IPSec nella realizzazione di VPN


Nellaccesso alle VPN e nella realizzazione di connessioni sicure si in presenza di tre
modalit implementative diverse, basate rispettivamente sullutilizzo di:
Router o switch con funzioni di livello 3/4;
software specializzato;
dispositivi dedicati di firewalling.
Lutilizzo del router la pi naturale e rappresenta unevoluzione delle sue funzionalit di
base. Va considerato poi che la connessione di una LAN allambiente geografico IP necessita
comunque di un router e quindi il suo utilizzo non porta a investimenti aggiuntivi, se non per
quanto concerne il dotarsi dei pacchetti software o degli aggiornamenti del sistema operativo,
necessari a supportare le funzioni di rete che si vuole attivare, nel caso specifico quelle di
tunneling e di sicurezza. In alcuni casi, un adeguamento delle funzioni del router pu non
essere necessario, se ci si trova a gestire applicazioni che sono state sviluppate in modo nativo
per operare con funzioni di sicurezza intrinseche su tunnel sicuri, realizzate direttamente tra le
stesse applicazioni che interagiscono su base remota.
80

Laffermazione delle VPN

CAPITOLO 7

Per ci che concerne apparati dedicati esplicitamente a proteggere il mondo LAN, i firewall
sono stati i primi prodotti a permettere la realizzazione di applicazioni su VPN e per certi
aspetti risultano degli apparati ideali per realizzare VPN, anche se la relativa funzione stata
inglobata in buona parte dellofferta di router esistenti.
Uno degli standard affermatisi per la realizzazione dei tunnel L2PT, un protocollo supportato
tra gli altri da Cisco e Microsoft. Instaurato il tunnel tramite il dispositivo prescelto, si
compiuto un primo passo nella realizzazione di una VPN. Quello successivo consiste nel
fornire allutilizzatore remoto un accesso sicuro alla LAN. L2TP viene in questo caso abbinato
a un altro protocollo, denominato IPSec e dedicato specificatamente alla realizzazione di
connessioni sicure tra utente remoto e LAN su reti VPN.
Due ulteriori aspetti sono correlati alla realizzazione di una rete VPN. Il primo la qualit del
servizio erogato dalla rete e il secondo la larghezza di banda disponibile sulla stessa. Il
problema che porta alla QoS deriva direttamente dal fatto che la rete Internet una rete di tipo
best effort, in cui tempi di consegna e capacit di rete non sono per niente garantiti. Situazione
che il contrario di quella che si cerca di ottenere quando si progetta una rete aziendale in cui
si vuole che le applicazioni abbiano dei tempi massimi di risposta garantiti e una disponibilit
di banda adeguata. Con la diffusione di Internet a livello aziendale il problema del QoS si
posto come uno dei principali quando si progetta unapplicazione che debba basarsi su una
VPN.
Un ruolo nello sviluppo di soluzioni che rendono proponibile e utilizzabile Internet come
substrato per la rete aziendale lo hanno sia le societ che sviluppano soluzioni hardware e
software per loffice automation o il networking aziendale che i principali carrier e ISP, tutti
coinvolti nello sviluppo di un protocollo denominato RSVP che permette di riservare una
larghezza di banda garantita su una rete IP. Quando una sessione viene attivata, tramite il
protocollo RSVP ogni nodo attraversato dai dati e coinvolto nella realizzazione di un tunnel su
IP riserva alla specifica connessione lammontare di banda necessario o segnala limpossibilit
di realizzare la connessione.

Larchitettura IPSec
Il protocollo che si sta affermando nella comunit Internet per la realizzazione di funzioni di
sicurezza IPSec, che rappresenta uno standard di fatto per la sicurezza del livello di rete.
IPSec prevede la realizzazione di due diverse modalit di protezione dei dati. La prima
permette di autenticare i dati inviati, la seconda aggiunge a questo anche la cifratura degli
81

Laffermazione delle VPN

CAPITOLO 7

stessi. IPSec costituisce una vera e propria architettura aperta per la realizzazione di reti sicure
ed stato sviluppato da un gruppo di lavoro dellIETF. Il concetto di architettura aperta
dipende dal fatto che nel suo ambito architetturale possono essere inseriti nuovi metodi di
cifratura man mano che vengono sviluppati o che i sistemi utilizzabili per attaccare i dati si
perfezionano. Le aree che sono state affrontare nella definizione del protocollo sono:
Autenticazione dei dati di origine per verificare che gli stessi siano stati inviati
effettivamente dal mittente.
Protezione dal rischio che i dati possano essere intercettati e ritrasmessi in un momento
successivo.
Integrit dei dati per verificare che quanto inserito nei datagrammi non sia stato
alterato.
Gestione automatica delle chiavi di cifratura in modo da poter stabilire una politica di
rete che non richieda continui interventi manuali.
In questo ambito, i principali protocolli della suite IPSec sono tre. Il primo denominato IP
Authentication Header (AH) e si preoccupa di autenticare i dati di origine, la loro integrit e la
protezione da ripetizioni abusive. Il secondo denominato IP Encapsulating Security Payload
(ESP) e si occupa della confidenzialit dei dati, dellautenticazione del mittente e dellintegrit
dei dati. Il terzo riferito come Internet Security Association and Key Management Protocol
(ISAKMP) e fornisce un metodo per realizzare automaticamente associazioni sicure e gestire le
relative chiavi di cifratura.
I protocolli per la sicurezza del livello di rete, quindi nello specifico lIPSec, hanno
nellinsieme la funzione di assicurare ai protocolli dei livelli superiori la protezione delle
informazioni trasportate nel campo dati, riferito come payload, di un datagramma IP.
IPSec e L2TP sono due protocolli fatti per lavorare assieme. Un tunnel L2TP viene realizzato
incapsulando una trama L2TP allinterno di un pacchetto UDP, a sua volta incapsulato
allinterno di un pacchetto IP.
UDP il protocollo del livello di trasporto, mentre IP il protocollo di rete ed nel pacchetto
IP che sono compresi gli indirizzi della sorgente e della destinazione del pacchetto che
definiscono i punti terminali di un tunnel.
Essendo IP il protocollo che incapsula tutti gli altri, le funzioni previste da IPSec per il livello
di rete finiscono con lessere applicate a questo pacchetto composito e quindi proteggono i dati
che fluiscono allinterno deltunnelL2TP.

82

Laffermazione delle VPN

CAPITOLO 7

I protocolli per il tunneling di livello 2 rappresentano un modo per realizzare accessi remoti
cost-effective con il trasporto multiprotocollo e laccesso remoto a LAN. Poich per non
forniscono funzioni di sicurezza, diventa praticamente obbligato utilizzarli in abbinamento a
IPSec, qualora si voglia fornire un accesso remoto sicuro.
Realizzare una VPN permette, quindi, di ottenere benefici economici notevoli, ma richiede un
approccio progettuale ben preciso che deve necessariamente partire con il rendere sicuro
laccesso aziendale, individuare le tecnologie da utilizzare o il service provider a cui rivolgersi,
passare attraverso una fase di definizione del Service Level Agreement e concludersi
(prudenzialmente) con un adeguato impianto pilota.

Autenticazione ed encryption per una VPN sicura


Larchitettura IPSec prevede la possibilit di inserire diversi protocolli e meccanismi di
autenticazione e di crittografia, quando questi fossero disponibili.
Attualmente gli standard pi diffusi sono il DES e il 3DES, pur soggetti a limitazioni di
esportazione da parte del governo Usa, ma circolanti pressoch liberamente sul mercato
italiano. Va osservato che il loro impiego pu essere indicato anche per le reti virtuali private
di tipo wireless.
Le tecnologie di autenticazione possono anche utilizzare elementi esterni, come i token, ma tali
meccanismi rimangono esterni allarchitettura VPN propriamente detta. Cos come lo il
protocollo tipicamente usato nelle reti attuali per la realizzazione di una sessione sicura, cio il
Secure Society Layer (SSL).
Questo protocollo nato per limpiego su Internet e, in particolare, la sua diffusione stata
propagandata per la realizzazione di siti di e-commerce.Sebbene il commercio elettronico abbia
avuto uno scarso successo, la sua esplosione probabilmente solo rimandata e, in ogni caso,
destinato a diventare un canale di commercio imprescindibile. Per preparasi a integrarlo in
azienda opportuno, come stato in parte spiegato, adeguare la propria infrastruttura a quelle
caratteristiche minime che lo facilitano.
Tra queste figurano anche le architetture di VPN, che probabilmente molte aziende saranno
costrette a implementare, in funzione dellestensione della propria suppl chain. La sempre
maggiore diffusione di router e gateway di piccole dimensioni, va anche nella direzione di
favorire ladozione di VPN da parte di piccole e medie imprese che devono collegarsi a un
partner pi grande o di telelavoratori, per i quali necessario garantire e mantenere adeguate

83

Laffermazione delle VPN

CAPITOLO 7

policy di sicurezza. Pi complicata potrebbe essere limplementazione di adeguate tecnologie


di crittografia, senza vedere penalizzate le prestazioni dei propri sistemi.

84

Capitolo 8

PROGETTO DI UNINFRASTRUTTURA DI SICUREZZA


Il lavoro di tesi si svolto presso una societ di franchising nellambito turistico che conta una
rete di circa 60 agenzie sparse per il territorio nazionale, in costante aumento. La natura di tale
societ prevede la gestione centralizzata delle applicazioni necessarie al proprio lavoro.
Le applicazioni che gli affiliati devono poter utilizzare consistono in gestionali e sistemi per la
prenotazione di viaggi, alberghi, ristoranti e tutto ci che concerne lattivit turistica.

Situazione iniziale
La metodologia di lavoro degli affiliati prima che cominciassero i lavori era la seguente:
collegamento in VPN alla sede centrale tramite software client con VPN-IPSec e apertura di
una sessione

remote desktop che li collegava al terminal server sul quale risiedevano i

software di contabilit. Laffiliato, in questo scenario riscontrava diverse problematiche che


riguardavano principalmente la stabilit dei tunnel VPN e la possibilit di stampare i dati
elaborati nella sessione di terminal server sulle stampanti in locale. Infatti, nella maggior parte
dei casi, la stampa risultava impossibile e lunico modo che avevano per stampare era farlo in
PDF sul terminal server e spedirsi via e-mail il documento per stamparlo in locale.
Lobiettivo del cliente era quello di risolvere queste problematiche e modernizzare la propria
rete
Studio della rete e raccolta delle specifiche
Questa fase dei lavori si svolta parlando con il responsabile informatico della societ e si
sono raccolti i seguenti dati. Dal colloquio con questa persona si giunti a delineare la
seguente situazione: in sede centrale non vi alcuna divisione tra la parte visibile di rete
dallesterno e la rete interna. L infrastruttura informatica si basa su un dominio Windows 2000
Active Directory Small Business Server. Come protezione perimetrale dellintera rete, un
firewall SonicWALL Pro2040 con firmware OS Standard, mentre per la protezione host, non
presente nessun software antivirus controllabile e gestibile da server ma vari programmi
antivirus utilizzati senza una logica ben precisa.
In questo scenario si possono riscontrare diverse problematiche riguardanti lamministrazione
troppo decentralizzata (o inesistente) e la sicurezza che pare essere stata trascurata.

Progetto di uninfrastruttura di sicurezza

CAPITOLO 8

I problemi di amministrazione riguardano principalmente la gestione delle VPN con le agenzie


esterne. Realizzandole tramite software infatti si riscontrano problemi di configurazione (viste
le competenze informatiche delle commesse delle agenzie) e di stabilit poich non tutti i
router forniti dai service provider sono IPSec pass-through e quindi il collegamento risulta
impossibile; inoltre, questo tipo di collegamento implica utilizzi massivi di calcoli da parte del
processore degli host per decriptare pacchetti IPSec e quindi un gran dispendio di risorse
macchina.
I problemi di sicurezza riscontrati sono stati, invece, i seguenti:
Nessuna policy per le password di accesso alla VPN e a windows.
Stesso indirizzamento per la parte di rete visibile dallesterno e la rete interna; in questo
modo gli affiliati potevano entrare in qualunque momento su qualunque macchina
facente parte della sottorete 192.168.1.x.
Macchine senza alcun software antivirus e altre con software vecchi o non aggiornati.
Nessuna policy di backup dei server in sede centrale.
Nessuna policy sul dominio creato, in questo modo ogni pc stand-alone inserito nella
lan poteva accedere e modificare i dati nelle cartelle condivise sul server.
Policy di default sul firewall permit in uscita su tutte le porte.
Nessuna logica di fail-over sulle linee internet, server e apparati di rete.
Ecco unimmagine schematica che rappresenta come risultava la rete prima di cominciare i
lavori.

PRO 2040

86

Progetto di uninfrastruttura di sicurezza

CAPITOLO 8

Proposta soluzione
Dopo unattenta analisi delle esigenze e delle problematiche sopra citate, s deciso di proporre
una soluzione scalabile in grado di poter procedere per passaggi, fino al conseguimento
dellinfrastruttura ottimale.
Nello studiare e proporre uninfrastruttura definitiva ottimale per una realt come quella citata,
si deciso di scomporla in 6 livelli:
1. Network;
2. Connettivit;
3. Livello daccesso;
4. Servizi;
5. High Availability;
6. Sicurezza.

1 -Network
A livello di network bisogna assicurarsi che a Layer 2 (Standard ISO/OSI) tutte le transazioni
interne od esterne possano contare su velocit ed affidabilit di consegna delle informazioni
richieste.
A tal proposito si sono approfonditi gli aspetti:

Bilanciamento di carico e Fault Tollerance delle schede di rete dei servers;

Utilizzo di apparati attivi in grado di poter implementare tecnologie di QoS e Packet


Prioritization.

Separazione fisica e logica del traffico dati tra Internet, Dmz e traffico VoIP

Per quanto riguarda il bilanciamento di carico e Fault Tollerance sui server, si analizzata la
possibilit di attivazione sui singoli server, se muniti di due schede di rete.

2 -Connettivit
La garanzia dellottenimento di un servizio di connettivit affidabile ed ottimale si ottiene
tramite lutilizzo di apparati Link Balancer, in grado di bilanciare differenti linee internet: il
bilanciamento ottenuto dallinserimento di tale apparato in una struttura si riflette con il
miglioramento dellutilizzo della banda internet, assicurando di conseguenza una qualit di
connessione maggiore, oltre che ad un grado maggiore di affidabile.
Linserimento di apparati Packet Shaper forniscono invece la possibilit di garantire bande
minime/massime ai vari protocolli oltre che di eseguire un controllo per pacchetto di
87

Progetto di uninfrastruttura di sicurezza

CAPITOLO 8

qualsiasi connessione transiti per essi. Questo tornerebbe utile nel caso dellinserimento nella
struttura di tecnologie VoIP, protocollo che soffre di problemi di questo tipo.

3- Livello dAccesso
Dopo aver approfondito le varie tecniche di miglioria dei canali comunicativi tra Sede e
Clienti, si approfondito il livello daccesso.
Fino a questo momento tutti i client esterni che vogliono accedere ai servizi centralizzati,
utilizzano connessioni Vpn Client-to-Site basate su tecnologia IPSec. Tale connessione obbliga
lutilizzo di un software specifico

molto delicato che in circostanze particolari cessa di

funzionare.
La migrazione da tale tecnologia ad una tecnologia VPN basata su criteri di sicurezza SSL e
quindi utilizzzare come protocollo portante lHTTP, veloce per sua natura, permette di rendere
la connessione maggiormente affidabile, poich non implica lutilizzo di software proprietari,
inoltre non implica utilizzi massivi di calcoli di processore per decriptare pacchetti, quindi
risulta pi veloce. Tale tecnica permette anche lutilizzo di meccanismi di autenticazione
esterni quali Token, Token con tecnologia OTP (One Time Password) o Smart Card.

4- Servizi
A livello di Servizio, lutilizzo di tecnologie Terminal, quali Terminal Server o Citrix
Metaframe permettono una resa maggiore degli applicativi in ambito Intranet, perch tali
tecnologie si avvalgono di protocolli daccelerazione di banda tra il client ed il server.
Per ottenere una maggior velocit in fase di utilizzo delle risorse centrali ci si pu avvalere di
apparati basati su tecnologie Quality of Service che garantiscono una banda minima per ogni
transazione che avviene tra client e server.

5 -High Availability
Dopo aver consolidato lintera struttura ci si pu concentrare sulla riduzione dei fermi
macchina o fermi servizi tramite lapplicazione dei concetti dellHigh Availability, ossia
prevedere sistemi/ meccanismi/ apparati in grado di poter garantire ridondanza della struttura e
dei servizi in caso di Fail.
A tal proposito si utilizza un altro server come Domain Controller, di modo che il processo
dautenticazione ai vari servizi sia bilanciato su due macchine differenti. Stessa sorte per
lSSL-VPN e per il terminal server, cos che eventuali manutenzioni o problemi
88

Progetto di uninfrastruttura di sicurezza

CAPITOLO 8

hardware/software non compromettano il grado di affidabilit dellintera infrastruttura


informatica.

6 -Sicurezza
Dal punto di vista della sicurezza, le aree logiche di suddivisione del traffico sono come
mostrato in figura.

Tale suddivisione implica che lapparato che funge da filtro tra le varie zone sia spesso
controllato e verificato sia nel suo funzionamento sia nella sua efficacia.
Lapparato filtrante dove essere fornito di tecnologia Deep-Packet-Inspection che prevede un
controllo della correttezza della comunicazione fino a livello Applicativo. Le funzionalit del
nuovo firmware proposto per il firewall permettono poi di poter potenziare ulteriormente la
granularit del controllo fino alla trasformazione del SonicWALL Pro2040 da Firewall Deep-

89

Progetto di uninfrastruttura di sicurezza

CAPITOLO 8

Packet-Inspection in Application-Level-Gateway, il massimo della tecnologia di sicurezza


perimetrale.
Per quanto riguarda la protezione Host, si proposto un software antivirus con integrate
funzionalit di rilevamento di Applicazioni Potenzialmente Indesiderate (PUA) e con capacit
di Host Intrusion Detection System (HIPS); il tutto gestito da una console che centralizza la
gestione degli host su un unico server.
La gestione della sicurezza non implica il solo inserimento in rete di un firewall, ma anche
lutilizzo di sistemi dautenticazione Sicuri basati su Certificati digitale o Smart Card. Per poter
utilizzare tali tecnologie, si attiver sui Domain Controllers un componente che svolge il ruolo
di framework tra lagente di autenticazione e lautenticatore, in poche parole tra lapparato che
riceve le credenziali ed il servizio che deve concedere o meno laccesso.

Ecco come avverrebbe una transazione tra Agenzia e Sede centrale secondo la proposta sopra
citata:
1. Lutente si collega al portale via browser internet e si autentica;
2. Il client apre una connessione RDP verso un nome DNS portalessl.dominio.net;
3. Il bilanciatore di carico risponde con lIP Pubblico riservato al portale, contestualmente
con la linea internet pi scarica, o con meno utenti connessi.
4. Inserimento di credenziali sul portale per lidentificazione dellutente tramite
laccoppiata utente/password (attraverso lutilizzo di sistemi di autenticazione
avanzata).
5. Fino a questo punto la connessione avverr sempre in maniera crittografata SSL, ma dal
portale SSL sar poi decriptata fino alla macchina di destinazione. Qualsiasi
operazione/comando eseguito durante tutta la sessione di lavoro, il firewall ne
verificher la coerenza con le policy definite, assieme al Packet Shaper che assegner
ad ogni connessione una banda minima in modo da garantire una qualit del servizio.

IPOTESI DI LAVORO
La messa in opera di tale sistema informatico prevede che alcuni componenti siano inseribili
in un secondo momento, dopo aver quindi assodato la logica ed il funzionamento della parte
indispensabile della rete.
Ecco una scaletta in ordine temporale sulle fasi dimplementazione del progetto:
1. Creazione del nuovo ambiente;
90

Progetto di uninfrastruttura di sicurezza

CAPITOLO 8

2. Attivazione delle vpn SSL;


3. Installazione Secondo Domain Controller;
4. Attivazione Firmware OS Enhanced su Pro2040;
5. Bilanciamento delle linee internet;
6. Attivazione del server WEB in DMZ;
7. Bilanciamento con un secondo server Terminal;
8. Attivazione Strong Authentication;
9. Creazione di una logica di Fail Over;
10. Creazione di logica di Disaster Recovery.
11. Attivazione QoS/Packet Shaping;
12. Attivazione VoIP.
13.
Fino a questo momento sono stati implementate le parti fondamentali quindi la creazione
dellambiente, linstallazione del nuovo domain controller, lattivazione del firmware OS
Enhanced sul firewall, lattivazione dell SSL-VPN e lattivazione della strong authentication.
Linfrastruttura oggi risulta essere cos:

PRO 2040

SL
HD it/s
b
M
2

SECURE REMOTE ACCESS

SSL-VPN
2000

91

Progetto di uninfrastruttura di sicurezza

CAPITOLO 8

Tra i passaggi eseguiti, di fondamentale interesse al fine della realizzazione di questa tesi, vi
sono lattivazione dellSSL-VPN e della strong authentication. Eccoli spiegati qui di seguito.

LSSL-VPN
Per permettere alle agenzie di connettersi in sede centrale tramite VPN realizzate con lSSL si
scelto un apparato dedicato: l SSL-VPN 2000 di SonicWall.
L SSL-VPN offre un accesso semplice e sicuro a reti e applicazioni remote. Per accedere a
posta elettronica, file, applicazioni e pagine Web interne, i dipendenti mobili devono
semplicemente collegarsi a un portale Web utilizzando un normale browser. Qualora siano
richieste maggiori prestazioni, ad esempio per un accesso sicuro e trasparente a risorse della
rete aziendale come server e applicazioni complesse o proprietarie, lappliance invia
automaticamente un client (NetExtender) al computer fisso o al portatile dellutente.

La scelta ricaduta su questo apparato per diversi motivi:

Connettivit clientless: caratteristica che va ad eliminare la necessit di un client VPN


in genere "pesante" e quindi solleva gli amministratori dall'attivit noiosa e dispendiosa
di installare e aggiornare un client sui PC degli utenti delle agenzie.

Tunnel simultanei senza limitazioni: lapparato in questione non ha limitazioni per il


numero di tunnel simultanei. Al contrario dei prodotti con licenza per singolo tunnel,
questa funzionalit riduce notevolmente i costi associati all'implementazione di una
soluzione di accesso remoto sicura e scalabile. Perfetto per una realt in continua
espansione come quella in essere.

Controlli della configurazione dei criteri a livello granulare: questo consente agli
amministratori della rete di creare criteri che bloccano l'utilizzo di specifiche
applicazioni e risorse da parte di un utente e ne impediscono l'accesso non autorizzato. I
criteri di accesso granulari possono essere impostati a livello utente, di gruppo e globale
per determinate risorse come, ad esempio, una specifica cartella condivisa di file o
un'applicazione. Un controllo dell'accesso dettagliato estende NetExtender anche con il
supporto di pi indirizzi IP e route NetExtender. Questa caratteristica consente agli
amministratori di assegnare specifici indirizzi IP o intervalli di indirizzi IP e specifiche
route a singoli utenti e gruppi, pertanto fornisce un controllo pi granulare su chi pu
accedere e a quali risorse nella rete.
92

Progetto di uninfrastruttura di sicurezza

CAPITOLO 8

Integrazione con AD: in questo modo laccesso ai vari portali pu essere concesso a
gruppi definiti nel database di account di Active Directory.

Integrazione con altri sistemi di autenticazione: lapparato permette di demandare a


Radius il fattore autenticazione trasformandosi da authentication server a supplicant
nello schema di autenticazione del protocollo radius. Questo permette lutilizzo di
sistemi di autenticazione forte come quelli dei token di Aladdin.

La configurazione dellapparato si svolta nella maniera seguente:


stato collegato tramite linterfaccia X0 ad una porta libera del firewall e gli stato
assegnato un indirizzo della DMZ.
E stato scaricato ed installato lultima versione disponibile del firmware dellapparato
di modo che si possa effettuare un mapping di varie risorse durante la connessione al
terminal server (stampanti, smart card, drive, porte seriali e parallele, ecc)
Sul firewall, tra le policy di NAT, stata creata una regola che trasla un indirizzo
pubblico inutilizzato dal cliente con lindirizzo dellSSL-VPN in DMZ e sulle policy di
firewalling, una regola che permette lHTTPS tra la linterfaccia WAN e la DMZ.
Questo serve per permettere ai client di collegarsi allapparato SSL-VPN dallesterno.
Sono state modificate le policy di default dellSSL-VPN modificandole in implicit
deny per ogni tentativo daccesso a tutte le risorse disponibili.
E stato indicato lindirizzo del domain controller dove autenticare gli utenti.
E stato creato il portale per le agenzie remote. Un portale un Url accessibile via web;
in questa pagina vi sono dei link che rappresentano le pagine o le applicazioni (es
OWA) accessibili dallapparato. Vi la possibilit di lasciare la configurazione di
questi link allutente ma si preferito non permetterlo per motivi di sicurezza. Nel
portale che stato creato stato configurato un bookmark per il collegamento al
terminal server che risiede nella zona LAN. Per permettere questo collegamento si
creata una policy personalizzata per il gruppo di utenti che devono poter accedere al
servizio di terminal server che permette il protocollo RDP sullindirizzo ip della
macchina che lo ospita.

93

Progetto di uninfrastruttura di sicurezza

CAPITOLO 8

Il token
Una volta reso sicuro il canale di comunicazione si passati a rendere sicuro laccesso al
canale; ci stato reso possibile grazie ai meccanismi di strong authentication che abbiamo
applicato.
Strong authentication significa utilizzare due o pi metodi di autenticazione.

Il prodotto scelto per rispondere alle esigenze delle agenzie un token ibrido; che contiene cio
un doppio fattore di autenticazione: un display che visualizza una password OTP e una smart
card contenuta allinterno della chiave usb.
Si scelto questo dispositivo per una serie di motivazioni:
La parte OTP non richiede linstallazione di alcun software quindi non si va a
modificare in alcun modo la parte client; se in futuro si decidesse di implementare
esclusivamente questa parte non si avrebbe nessun problema da parte dellutente finale.
La parte PKI, che contiene il certificato digitale, richiede linstallazione di un software
leggero che non andr ad impattare sulle prestazioni delle macchine client. In futuro
si prevede comunque che alcune patch di windows driver minicard andranno a
sopperire a questo problema visto che sarebbe meglio non installare software sulle
macchine client.
I costi sono contenuti e quindi il cliente pu scegliere dei dispositivi che rispettino i
requisiti ad un TCO pi basso.

Il TMS
Con il dispositivo si scelto di utilizzare il software per la gestione centralizzata dei token, il
TMS (Token Management System). Questo software permette il deploy, la gestione e lutilizzo
dei token.
Le caratteristiche di questo software sono:
Supporto per tutti i dispositivi e le applicazioni eToken come i token NG-OTP che sono
stati scelti per la realt in questione.
94

Progetto di uninfrastruttura di sicurezza

CAPITOLO 8

Non viene richiesto un server proprietario. In questo modo si possono utilizzare i server
gi in possesso del cliente; particolare non da poco viste le esigenze di budget.
Integrazione con Active Directory. La soluzione va a estendere lo schema di Active
Directory rendendo familiare ed intuitivo il management visto che le policy si possono
gestire direttamente nei task delle propriet utente in Windows. I permessi possono
quindi essere gestiti a livello di utente, Organization Unit, gruppi o addirittura dominio.
Il portale di gestione accessibile via Web; questo permette di gestire i Token da
remoto per gli amministratori e per gli utenti delle agenzie che ne avessero bisogno di
accedere ad un portale self-service, dal quale possono effettuare le operazioni pi
urgenti senza quindi dover spedire il token in sede centrale.
Gestione dei log semplice ed affidabile; questo aspetto di fondamentale importanza
visto che con la certezza dellidentit dellutente data dal possesso del token gli si
possono ricondurre con sicurezza tutte le operazioni da lui effettuate in compliance con
le leggi in materia.

Ecco un immagine che riassume lintegrazione del TMS in una rete.

Lintroduzione del TMS nella realt in questione avvenuta nella maniera seguente.

95

Progetto di uninfrastruttura di sicurezza

CAPITOLO 8

Come primo passo si scelto di installarlo su di un pc per una fase di test. In questo modo la
parte di TMS pu essere testata senza andare ad impattare sullattuale struttura ed possibile,
nel caso non soddisfi i requisiti preposti, ritornare alla situazione iniziale. Il pc era stato
precedentemente preparato con linstallazione di windows server 2003, stato configurato
come domain controller secondario per il dominio in questione, stato installato il radius di
Windows (IAS), il web server (IIS) e la Certification Authority.
Linstallazione del software stata eseguita come da manuale; con linstallazione dei vari
service pack e la predisposizione per lo smart card logon e lOTP logon. Per fare questo sono
stati installati i relativi connettori (pacchetti software che abilitano il TMS a diverse
funzionalit).
Su Active Directory sono stati abilitati 10 utenti ad utilizzare lOTP e lo smart card logon e
sono stati inizializzati 10 token dal portale di management. Tra le policy stato scelto di
utilizzare oltre allOTP un pin di 4 caratteri direttamente impostabile dallutente. Si va in
questo modo ad incrementare la sicurezza poich si vanno a utilizzare due fattori di
autenticazione: qualcosa che ho e qualcosa che so.
La fase successiva stata la distribuzione del token a 10 agenzie campione e labilitazione di
un portale SSL di prova per queste. Su questo portale stata configurata lautenticazione
tramite radius secondo il seguente schema:

96

Progetto di uninfrastruttura di sicurezza

CAPITOLO 8

Lesito di questa fase stato pi che soddisfacente visto che lunico problema che si
presentato stato che il primo login del mattino non andava mai a buon fine; problema dovuto
alla scheda di rete del pc che, non essendo predisposto per fare da server, andava in risparmio
energetico e interrompeva le comunicazioni con la rete.
La nuova procedura seguita dalle agenzie viene dunque definita come segue:
Si apre Internet Explorer e si va sul portale dellssl; compare una finestra di login che
chiede username e password. Come username si inserisce quello corrispondente
allutente di Active Directory e come password si inserisce il PIN pi i sei caratteri
numerici generati dal token.
Compare una finestra con un link al terminal server; lo si clicca e compare la solita
finestra di logon a windows.
Ora le opzioni sono due: o si preme ctrl+alt+canc e si accede in modo classico a
windows (possibilit che pu essere disabilitata) e si inserisce il token nella porta USB.
In questultimo caso la maschera daccesso cambia in una finestra che richiede
linserimento di un pin; una volta inserito il pin corretto si accede alla sessione di
terminal server.

SVILUPPI FUTURI
Ad oggi si creata una struttura funzionante e notevolmente migliorata rispetto alla situazione
iniziale. I problemi delle agenzie sono stati completamente risolti e la struttura della sede
stata resa pi sicura.
Vista per lespansione, in termini di numero di agenzie, che si sta verificando bisogner
andare ad agire su punti che non sono ancora stati affrontati: ridondanza degli apparati
daccesso in sede centrale e quella della linea internet nelle sedi remote come in quella
centrale.
La ridondanza degli apparati in sede centrale, necessita linstallazione di un secondo firewall in
High Availabilty (HA) e dellinstallazione di un secondo SSL-VPN. In questo modo il carico
di lavoro sar diviso tra due macchine; questo aiuter le macchine a dare risposte pi veloci e
nel caso una delle due dovesse compromettersi, automaticamente tutto il carico passerebbe alla
macchina funzionante fino ad un intervento.
Per quanto riguarda lHA sullssl baster collegarli in due porte differenti del firewall e di
sessione in sessione traslare (nat) lindirizzo pubblico sui due indirizzi privati.

97

Progetto di uninfrastruttura di sicurezza

CAPITOLO 8

Per la linea internet si scelto di cambiare contratto attivando un HDSL da un provider che, in
caso di cadute di linea, ne porta una seconda (che parte da una centrale differente) in wireless
mantenendo gli stessi IP pubblici.
Per quanto riguarda la ridondanza della linea Internet delle agenzie, si provveder allutilizzo
di nuovi firewall/router dotati delle funzionalit in grado di sfruttare, in caso di assenza di linea
sullinterfaccia principale, le reti UMTS, HSDPA, 3G, garantendo quindi la completa
accessibilit alle applicazioni centralizzate.

98

Bibliografia

- Building Internet Firewalls di Elizabeth D. Zwicky, Simon Cooper & D.


Brent Chapman. Second Edition, June 2000
- Crittografia e sicurezza delle reti 2/ed di: William Stallings. Curatore
edizione italiana: Luca Salgarelli
-

Reportec - ICT SECURITY di Giuseppe Saccardi, Gaetano Di Blasio,


Riccardo Florio, Manuela Gianni

- Reportec - BUSINNES NETWORKING di Giuseppe Saccardi, Gaetano Di


Blasio, Riccardo Florio.
- Configuring Sonicwall Firewalls by Chris Lathem, Benjamin W.
Fortenberry, Joshua Reed.
- Aladdin eToken certification course 4.0 manual
- TCP/IP Illustrated Volume 1 - The protocol by W. Richard Stevens
- www.aladdin.com
- www.sonicwall.com

99